Printable View
Одолел меня злобный троян. Машина "тормозит" со страшной силой, а антивирус Касперского при попытке лечения уходит в глубокий ребут, а дальше как в сказке про Белого Бычка...
О прошлом разе полечил командой "формат", но очередной Мутант на другой машине... Силы кончились... Прошу помощи в обуздании враждебного пришельца!!!
Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winfn86.sys
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winfn86');
DeleteService('xmlprovMessenger');
DeleteService('WZCSVCNtmsSvc');
DeleteService('WmiPlugPlay');
DeleteService('WmiApSrvstisvc');
DeleteService('WmdmPmSNDcomLaunch');
DeleteService('WebClientdmadmin');
DeleteService('upnphostwuauserv');
DeleteService('upnphostALG');
DeleteService('TrkWksRasAuto');
DeleteService('TrkWksNetDDE');
DeleteService('TermServiceTrkWksRasAuto');
DeleteService('TapiSrvNtLmSsp');
DeleteService('SysmonLogProtectedStorage');
DeleteService('SysmonLogNla');
DeleteService('srserviceRemoteRegistry');
DeleteService('SamSsVSS');
DeleteService('RSVPNtLmSsp');
DeleteService('RemoteRegistryWmdmPmSN');
DeleteService('RemoteRegistryFastUserSwitchingCompatibility');
DeleteService('PolicyAgentwinmgmt');
DeleteService('PlugPlaydmadmin');
DeleteService('oseRpcLocator');
DeleteService('NVSvcBITS');
DeleteService('NtLmSspSwPrv');
DeleteService('lanmanworkstationAlerter');
DeleteService('FastUserSwitchingCompatibilityNla');
DeleteService('FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityNla');
DeleteService('dmadminRasManAVP');
DeleteService('dmadminRasMan');
DeleteService('Dhcpose');
DeleteService('COMSysApplanmanworkstation');
DeleteService('COMSysAppAppMgmt');
DeleteService('AudioSrvWZCSVC');
DeleteService('Winrb07');
DeleteService('Winpx75');
DeleteService('Winnv86');
DeleteService('Winkr54');
DeleteService('Wingn18');
DeleteService('Winck53');
DeleteService('Winai53');
DeleteService('ethmmzcb');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winai53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winck53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn18.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnv86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrb07.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethmmzcb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winfn86.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winfn86.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethmmzcb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrb07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnv86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winck53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai53.sys');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winfn86');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху страницы.
- Прикрепите логи к новому сообщению.
Огромное спасибо за оперативность!!! Завтра доберусь до компа, буду лечить... Однако у меня самый длинный скрипт! Даже не знаю гордиться или нет... :-)
К сожалению Ваши советы не помогли, вирусная гидра продолжала точить мою машину... Сил не осталось... Придеться форматированием...
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Да, еще забыл. Предлагаем Антивирус Касперского, как хорошую защиту своим клиентам и ... имеем "бледный вид"... На моей памяти только за последний месяц три подобных случая. Неужели нет противоядия никакого! Танцы с бубном и вызов тех поддержки - не самый лучший способ доказать эффективность антивирусной программы... Да ладно бы свежак какой - с пылу с жару, а то одно и то же. Я в замешательстве... :-(
ваше проблемы решаемы ... не нужно истерик ,точно выполняйте указания ... через пол часа проблема будет решена ...
ps вашу дырявую систему не защитит ни оди антивирус ... нужно срочно обновлятся до сп3 (после лечения)
[QUOTE=mike345;265547]К сожалению Ваши советы не помогли[/QUOTE]Так Вы же их только до половины выполнили....:O
[CODE]- очистка от мусора
- повторные логи [/CODE]
--- где это??
ЕСли Вы и форматирование на полдороги бросите - доброй ночи 8)
Симптомы классические - тормоза...
Вам помогать очень тяжело: Вы не выполняете рекомендации хелперов. Если опять на полдороге бросите - закроем и эту тему.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('WZCSVCNetDDE');
DeleteService('WmiHidServ');
DeleteService('Schedule Web Scanner');
DeleteService('Schedule Mail Scanner');
DeleteService('RasAutoSharedAccess');
DeleteService('ProtectedStorageVSSThemes');
DeleteService('ProtectedStorageVSS');
DeleteService('NlaDnscache');
DeleteService('NetmanHTTPFilter');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye61.sys','');
DeleteService('Winye61');
DeleteService('Winvb61');
DeleteService('Winua73');
DeleteService('Winqv62');
DeleteService('Winqv50');
DeleteService('Winns73');
DeleteService('Winlq16');
DeleteService('Wingl38');
DeleteService('Winej73');
DeleteService('Windj63');
DeleteService('Winag27');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag27.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху страницы.
- Прикрепите логи к новому сообщению.
[quote=V_Bond;265576]ваше проблемы решаемы ... не нужно истерик ,точно выполняйте указания ... через пол часа проблема будет решена ...
ps вашу дырявую систему не защитит ни оди антивирус ... нужно срочно обновлятся до сп3 (после лечения)[/quote]
Ну, на счет истерики, это Вам показалось, а насчет не нашей, а ихней системы, тут согласен - SP3 не помешает.
А снести офисную систему и накатить новую со всеми "обновами" было быстрее и надежнее.
[QUOTE=mike345;266656]
А снести офисную систему и накатить новую со всеми "обновами" было быстрее и надежнее.[/QUOTE]В принципе - согласен на 100%, но зачем тогда к нам обращались? :O
Клиенты - туроператоры. На дворе самый сезон и как говорил Владимир Ульянов - Промедление смерти подобно!
Попросили полечить не забивая системку, чтоб побыстрее... Очень быстро не вышло... Пришлось ставить все с нуля. А Вам спасибо большое за помощь! На второй раз все процедуры спокойно проделал - помогло.
Правда погрохали файл sfc_os.dll, видимо AVSAT еще до сноса, и сменные носители не хотели заводиться, но вылечилось обновлением оного из дистриба.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Да... Кнопкой "помощь сайту" я немного побаловался, в меру своей испорченности, конечно. :-)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]