Выполнил "правила перед запросом о помощи", выкладываю логи, помогите пожалуйста. Установлен SAV CE, корпоративный, но вирус одолевает только одну машину...
Printable View
Выполнил "правила перед запросом о помощи", выкладываю логи, помогите пожалуйста. Установлен SAV CE, корпоративный, но вирус одолевает только одну машину...
где логи ?
Простите, не разобрался сразу, как вложения прикрепить.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyt71');
DeleteService('Winyo60');
DeleteService('Winyj11');
DeleteService('Winye52');
DeleteService('Winye41');
DeleteService('Winxi17');
DeleteService('Winxi00');
DeleteService('Winwh60');
DeleteService('Winwc66');
DeleteService('Winvv14');
DeleteService('Winvg47');
DeleteService('Winvb85');
DeleteService('Winua11');
DeleteService('Wintt06');
DeleteService('Winto65');
DeleteService('Wintj25');
DeleteService('Winss11');
DeleteService('Winrr44');
DeleteService('Winoo85');
DeleteService('Winoe74');
DeleteService('Winnx85');
DeleteService('Winnn63');
DeleteService('Winmw85');
DeleteService('Winmh30');
DeleteService('Winmh17');
DeleteService('Winlq33');
DeleteService('Winlg14');
DeleteService('Winjj28');
DeleteService('Wingg88');
DeleteService('Wingg11');
DeleteService('Winfp25');
DeleteService('Winfa14');
DeleteService('Winet66');
DeleteService('Windi28');
DeleteService('Winbq44');
DeleteService('Winbq33');
DeleteService('Winbq30');
DeleteService('Winau85');
DeleteService('Winaa00');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaa00.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winau85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winet66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfa14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg88.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjj28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlg14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmh17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmh30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmw85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnn63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnx85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winss11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintj25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winto65.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwh60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi00.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyj11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyt71.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyt71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyo60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyj11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwh60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvv14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvg47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintt06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winto65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintj25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrr44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoo85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoe74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnx85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnn63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmw85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmh30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlg14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjj28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfp25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfa14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winet66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbq44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbq33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbq30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winau85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaa00.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winyt71');
BC_DeleteSvc('Winyo60');
BC_DeleteSvc('Winyj11');
BC_DeleteSvc('Winye52');
BC_DeleteSvc('Winye41');
BC_DeleteSvc('Winxi17');
BC_DeleteSvc('Winxi00');
BC_DeleteSvc('Winwh60');
BC_DeleteSvc('Winwc66');
BC_DeleteSvc('Winvv14');
BC_DeleteSvc('Winvg47');
BC_DeleteSvc('Winvb85');
BC_DeleteSvc('Winua11');
BC_DeleteSvc('Wintt06');
BC_DeleteSvc('Winto65');
BC_DeleteSvc('Wintj25');
BC_DeleteSvc('Winss11');
BC_DeleteSvc('Winrr44');
BC_DeleteSvc('Winoo85');
BC_DeleteSvc('Winoe74');
BC_DeleteSvc('Winnx85');
BC_DeleteSvc('Winnn63');
BC_DeleteSvc('Winmw85');
BC_DeleteSvc('Winmh30');
BC_DeleteSvc('Winmh17');
BC_DeleteSvc('Winlq33');
BC_DeleteSvc('Winlg14');
BC_DeleteSvc('Winjj28');
BC_DeleteSvc('Wingg88');
BC_DeleteSvc('Wingg11');
BC_DeleteSvc('Winfp25');
BC_DeleteSvc('Winfa14');
BC_DeleteSvc('Winet66');
BC_DeleteSvc('Windi28');
BC_DeleteSvc('Winbq44');
BC_DeleteSvc('Winbq33');
BC_DeleteSvc('Winbq30');
BC_DeleteSvc('Winau85');
BC_DeleteSvc('Winaa00');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Выполнил, выкладываю новые логи.
[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winjj30.sys
C:\WINDOWS\System32\Drivers\Winss11.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winss11');
DeleteService('Winjj30');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winss11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjj30.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjj30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winss11.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winss11');
BC_DeleteSvc('Winjj30');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Выполнил, новые логи.
Файлов:
[CODE]C:\WINDOWS\System32\Drivers\Winjj30.sys
C:\WINDOWS\System32\Drivers\Winss11.sys[/CODE]
Не нашел в системе.
Ничего подозрительного.
Сервис Пак 3 нужно поставить.
[B]Rene-gad[/B], большой респект за помощь, очень благодарен.