Сообщение на рабочем столе и вирусы Троя, которые не лечаться
Printable View
Сообщение на рабочем столе и вирусы Троя, которые не лечаться
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.[/COLOR]
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\windows\system32\WinCtrl32.dll
C:\windows\system32\WinCtrl32.bak
C:\windows\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winlk85');
DeleteService('Winho80');
DeleteService('Wincm40');
DeleteService('wuauservNWCWorkstation');
DeleteService('winmgmtNtmsSvc');
DeleteService('upnphostALG');
DeleteService('TrkWkswuauservNWCWorkstation');
DeleteService('TapiSrvstisvc');
DeleteService('SysmonLogRDSessMgr');
DeleteService('SysmonLogAudioSrv');
DeleteService('SSDPSRVSchedule');
DeleteService('SpeedFastUserSwitchingCompatibilityTermService');
DeleteService('SpeedFastUserSwitchingCompatibility');
DeleteService('ShellHWDetectionNetman');
DeleteService('SENSSwPrv');
DeleteService('SENSSENSSwPrv');
DeleteService('SENSlanmanworkstation');
DeleteService('seclogonAlerter');
DeleteService('SCardSvrgusvc');
DeleteService('SamSs Smart');
DeleteService('RSVPNla');
DeleteService('RemoteAccessTermService');
DeleteService('RDSessMgrPlugPlayRemoteRegistry');
DeleteService('PlugPlayRemoteRegistry');
DeleteService('PlugPlayNwSapAgent');
DeleteService('PlugPlayCOMSysApp');
DeleteService('NtmsSvcALG');
DeleteService('NtLmSspCryptSvc');
DeleteService('NProtectServiceBITSCryptSvcDhcp');
DeleteService('NProtectServiceBITSaspnet_state');
DeleteService('NProtectServiceBITS');
DeleteService('NlaSchedule');
DeleteService('NetmanNWCWorkstation');
DeleteService('NetmanNetlogon');
DeleteService('NetDDERasMan');
DeleteService('MSDTCwinmgmt');
DeleteService('MSDTCALG');
DeleteService('mnmsrvcProtectedStorage');
DeleteService('lanmanworkstationHTTPFilter');
DeleteService('HTTPFiltermnmsrvc');
DeleteService('HTTPFilterBrowser');
DeleteService('dmserverSysmonLogAudioSrv');
DeleteService('CryptSvcDhcp');
DeleteService('COMSysAppHidServ');
DeleteService('ClipSrvWmi');
DeleteService('ClipSrvNlaScheduleMessenger');
DeleteService('ClipSrvNlaSchedule');
DeleteService('CiSvcWebClient');
DeleteService('AudioSrvupnphostALG');
DeleteService('aspnet_stateTapiSrv');
DeleteService('AppMgmtShellHWDetectionNetman');
DeleteService('AlerterDhcp');
QuarantineFile('E:\setup.exe','');
QuarantineFile('C:\windows\system32\WinCtrl32.dll','');
QuarantineFile('C:\windows\System32\Drivers\Wincm40.sys','');
QuarantineFile('C:\windows\System32\Drivers\Winho80.sys','');
QuarantineFile('C:\windows\System32\Drivers\Winlk85.sys','');
QuarantineFile('C:\windows\system32\lphc5bej0ej03.exe','');
QuarantineFile('c:\windows\system32\lphc5bej0ej03.exe','');
DeleteFile('c:\windows\system32\lphc5bej0ej03.exe');
DeleteFile('C:\windows\system32\lphc5bej0ej03.exe');
DeleteFile('C:\windows\System32\Drivers\Winlk85.sys');
DeleteFile('C:\windows\System32\Drivers\Winho80.sys');
DeleteFile('C:\windows\System32\Drivers\Wincm40.sys');
DeleteFile('C:\windows\system32\blphc5bej0ej03.scr');
DeleteFile('C:\windows\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean; DeleteService('Winlk85');
BC_DeleteSvc('Winho80');
BC_DeleteSvc('Wincm40');
BC_DeleteSvc('wuauservNWCWorkstation');
BC_DeleteSvc('winmgmtNtmsSvc');
BC_DeleteSvc('upnphostALG');
BC_DeleteSvc('TrkWkswuauservNWCWorkstation');
BC_DeleteSvc('TapiSrvstisvc');
BC_DeleteSvc('SysmonLogRDSessMgr');
BC_DeleteSvc('SysmonLogAudioSrv');
BC_DeleteSvc('SSDPSRVSchedule');
BC_DeleteSvc('SpeedFastUserSwitchingCompatibilityTermService');
BC_DeleteSvc('SpeedFastUserSwitchingCompatibility');
BC_DeleteSvc('ShellHWDetectionNetman');
BC_DeleteSvc('SENSSwPrv');
BC_DeleteSvc('SENSSENSSwPrv');
BC_DeleteSvc('SENSlanmanworkstation');
BC_DeleteSvc('seclogonAlerter');
BC_DeleteSvc('SCardSvrgusvc');
BC_DeleteSvc('SamSs Smart');
BC_DeleteSvc('RSVPNla');
BC_DeleteSvc('RemoteAccessTermService');
BC_DeleteSvc('RDSessMgrPlugPlayRemoteRegistry');
BC_DeleteSvc('PlugPlayRemoteRegistry');
BC_DeleteSvc('PlugPlayNwSapAgent');
BC_DeleteSvc('PlugPlayCOMSysApp');
BC_DeleteSvc('NtmsSvcALG');
BC_DeleteSvc('NtLmSspCryptSvc');
BC_DeleteSvc('NProtectServiceBITSCryptSvcDhcp');
BC_DeleteSvc('NProtectServiceBITSaspnet_state');
BC_DeleteSvc('NProtectServiceBITS');
BC_DeleteSvc('NlaSchedule');
BC_DeleteSvc('NetmanNWCWorkstation');
BC_DeleteSvc('NetmanNetlogon');
BC_DeleteSvc('NetDDERasMan');
BC_DeleteSvc('MSDTCwinmgmt');
BC_DeleteSvc('MSDTCALG');
BC_DeleteSvc('mnmsrvcProtectedStorage');
BC_DeleteSvc('lanmanworkstationHTTPFilter');
BC_DeleteSvc('HTTPFiltermnmsrvc');
BC_DeleteSvc('HTTPFilterBrowser');
BC_DeleteSvc('dmserverSysmonLogAudioSrv');
BC_DeleteSvc('CryptSvcDhcp');
BC_DeleteSvc('COMSysAppHidServ');
BC_DeleteSvc('ClipSrvWmi');
BC_DeleteSvc('ClipSrvNlaScheduleMessenger');
BC_DeleteSvc('ClipSrvNlaSchedule');
BC_DeleteSvc('CiSvcWebClient');
BC_DeleteSvc('AudioSrvupnphostALG');
BC_DeleteSvc('aspnet_stateTapiSrv');
BC_DeleteSvc('AppMgmtShellHWDetectionNetman');
BC_DeleteSvc('AlerterDhcp');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо, все попробую, я делетант и прошу не обижаться на мои ошибки, буду учиться
[QUOTE=Alla;277044]Спасибо, все попробую, я делетант и прошу не обижаться на мои ошибки, буду учиться[/QUOTE]Мы не обижаемся. Но: Невыполнение правил вредит в первую очередь Вам: неправильно выполненные логи дают нам неправильную картину происходящего а Вы получаете неправильное лечение.