Здравствуйте!
Прошу помощи! Dr Web и Аваст не справляются! Спасибо.
Printable View
Здравствуйте!
Прошу помощи! Dr Web и Аваст не справляются! Спасибо.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winej63.sys
C:\WINDOWS\System32\Drivers\Winkr75.sys
C:\WINDOWS\System32\Drivers\Winrx17.sys
C:\WINDOWS\System32\Drivers\Winsa63.sys
C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('MaxtorAppMgmt');
DeleteService('dmserverNla');
DeleteService('CryptSvcShellHWDetection');
DeleteService('avast!NetDDEdsdm');
DeleteService('WudfSvcUPS');
DeleteService('WudfSvcClipSrv');
DeleteService('Winsx74');
DeleteService('Winsa63');
DeleteService('Winrx17');
DeleteService('Winls63');
DeleteService('Winkr75');
DeleteService('Winej63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys','');
QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\winzzc32.dll','');
QuarantineFile('c:\sysprep\patch\sysprep.cmd','');
QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe','');
DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\winzzc32.dll');
DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('MaxtorAppMgmt');
BC_DeleteSvc('dmserverNla');
BC_DeleteSvc('CryptSvcShellHWDetection');
BC_DeleteSvc('avast!NetDDEdsdm');
BC_DeleteSvc('WudfSvcUPS');
BC_DeleteSvce('WudfSvcClipSrv');
BC_DeleteSvc('Winsx74');
BC_DeleteSvc('Winsa63');
BC_DeleteSvc('Winrx17');
BC_DeleteSvc('Winls63');
BC_DeleteSvce('Winkr75');
BC_DeleteSvc('Winej63');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
В [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword[/URL] не нашел указанных вами файлов... Пофиксил...
Скрипт не запустился, выдав ошибку! Правда, перед тем как получил ваши рекомендации и начал их применять Curit нашел и "убил" несколько файлов... Прикрепляю новые логи... Может что-то сделал не так?! Спасибо.
DrWeb нашел Trojan.Rntm.10 и удалил...
Исправил,выполняйте:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('MaxtorAppMgmt');
DeleteService('dmserverNla');
DeleteService('CryptSvcShellHWDetection');
DeleteService('avast!NetDDEdsdm');
DeleteService('WudfSvcUPS');
DeleteService('WudfSvcClipSrv');
DeleteService('Winsx74');
DeleteService('Winsa63');
DeleteService('Winrx17');
DeleteService('Winls63');
DeleteService('Winkr75');
DeleteService('Winej63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys','');
QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\winzzc32.dll','');
QuarantineFile('c:\sysprep\patch\sysprep.cmd','');
QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe','');
DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\winzzc32.dll');
DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('MaxtorAppMgmt');
BC_DeleteSvc('dmserverNla');
BC_DeleteSvc('CryptSvcShellHWDetection');
BC_DeleteSvc('avast!NetDDEdsdm');
BC_DeleteSvc('WudfSvcUPS');
BC_DeleteSvc('WudfSvcClipSrv');
BC_DeleteSvc('Winsx74');
BC_DeleteSvc('Winsa63');
BC_DeleteSvc('Winrx17');
BC_DeleteSvc('Winls63');
BC_DeleteSvc('Winkr75');
BC_DeleteSvc('Winej63');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделал. Кажется ничего не обнаружилось! Прикрепляю логи!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {DDE832EA-0E53-4428-99C1-6AC591B3ABE3} - C:\WINDOWS\system32\vtsts.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{DDE832EA-0E53-4428-99C1-6AC591B3ABE3}');
DeleteService('Winyg74');
DeleteService('Winsx74');
DeleteService('Winsa63');
DeleteService('Winrx17');
DeleteService('Winou27');
DeleteService('Winnu30');
DeleteService('Winkr75');
DeleteService('Winej63');
DeleteService('WudfSvcUPS');
DeleteService('WudfSvcClipSrv');
DeleteService('RemoteAccessDhcp');
DeleteService('MaxtorAppMgmt');
DeleteService('Dot3svc Mail Scanner');
DeleteService('dmserverNla');
DeleteService('CryptSvcShellHWDetection');
DeleteService('avast!NetDDEdsdmNetDDE');
DeleteService('avast!NetDDEdsdm');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys');
DeleteFile('C:\WINDOWS\system32\vtsts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Спасибо за помощь, но должен срочно на встречу уехать!!!!
Пофиксил, скрипт выполнил! Как вернусь - выложу логи!!
Еще раз спасибо!!!
Только добрался до компьютера!
Выкладываю новые логи!
Проблем в логах не вижу.
А Вы? :)
Пока всё хорошо! :) Даже если я их посмотрю (логи) - вряд ли что-то квалифицированно обнаружу! :) Спасибо за помощь!!!!! Пожалуй, загляну сейчас в вашу "свинку"!!! :) Только вот там текст для смс в двух местах по-разному написан!!!
Восстановление системы включаю?!!..
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
kop38246+65
kop+38246+65
Спасибо :) Насчет СМС - не знаю. Спросите плиз у нашего администратора anton_dr через ЛС.
Системное восстановление можете включить.
Ок! Еще раз спасибо!!!