Это опять я ([URL]http://virusinfo.info/showthread.php?t=29145[/URL]) только по поводу другого компа.
Такая же история.
Printable View
Это опять я ([URL]http://virusinfo.info/showthread.php?t=29145[/URL]) только по поводу другого компа.
Такая же история.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winrw84.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphcj2kj0ep37.scr','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winrw84.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('wuauservSwPrv');
DeleteService('wuauservNetDDEdsdm');
DeleteService('winmgmtWmi');
DeleteService('winmgmtSpooler');
DeleteService('WebClientUPSBrowserBITSWmiApSrvdmserverBrowser');
DeleteService('UPSBrowserBITSWmiApSrvdmserverBrowser');
DeleteService('UPSBrowserBITSWmiApSrv');
DeleteService('UPSBrowserBITSNlawinmgmtWmiEventSystemAudioSrv');
DeleteService('UPSBrowserBITS');
DeleteService('UPSBrowser');
DeleteService('UPSAppMgmtHidServ');
DeleteService('TapiSrvSCardSvr');
DeleteService('stisvcWZCSVC');
DeleteService('SSDPSRVmnmsrvcEventSystemDnscache');
DeleteService('SSDPSRVmnmsrvc');
DeleteService('srserviceSwPrvSENSwuauservRSVP');
DeleteService('srserviceSwPrvSENSwuauserv');
DeleteService('srserviceSwPrv');
DeleteService('srserviceNetDDE');
DeleteService('ShellHWDetectionAppMgmtBrowser');
DeleteService('ShellHWDetectionAppMgmt');
DeleteService('SENSwuauserv');
DeleteService('SCardSvrNetDDEdsdm');
DeleteService('ProtectedStorageRemoteRegistry');
DeleteService('PlugPlaygusvcPolicyAgent');
DeleteService('NtmsSvcSpooler');
DeleteService('NtLmSspNetDDESchedule');
DeleteService('NlawinmgmtWmiEventSystemAudioSrv');
DeleteService('NlawinmgmtWmi');
DeleteService('NetlogonNla');
DeleteService('NetlogonCiSvcose');
DeleteService('NetlogonCiSvc');
DeleteService('NetDDESchedule');
DeleteService('NetDDEdsdmNetlogonCiSvcose');
DeleteService('LmHostsSENS');
DeleteService('gusvcPolicyAgent');
DeleteService('FastUserSwitchingCompatibilityUPSAppMgmtHidServ');
DeleteService('EventSystemwuauservNetDDEdsdm');
DeleteService('EventSystemDnscache');
DeleteService('EventSystemAudioSrvNtLmSspNetDDESchedule');
DeleteService('EventSystemAudioSrv');
DeleteService('dmserverBrowser');
DeleteService('CryptSvcMessenger');
DeleteService('COMSysAppCiSvcW32Time');
DeleteService('COMSysAppCiSvc');
DeleteService('AppMgmtHidServ');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winrw84.sys');
DeleteFile('C:\WINDOWS\system32\blphcj2kj0ep37.scr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wuauservSwPrv');
BC_DeleteSvc('wuauservNetDDEdsdm');
BC_DeleteSvc('winmgmtWmi');
BC_DeleteSvc('winmgmtSpooler');
BC_DeleteSvc('WebClientUPSBrowserBITSWmiApSrvdmserverBrowser');
BC_DeleteSvc('UPSBrowserBITSWmiApSrvdmserverBrowser');
BC_DeleteSvc('UPSBrowserBITSWmiApSrv');
BC_DeleteSvc('UPSBrowserBITSNlawinmgmtWmiEventSystemAudioSrv');
BC_DeleteSvc('UPSBrowserBITS');
BC_DeleteSvc('UPSBrowser');
BC_DeleteSvc('UPSAppMgmtHidServ');
BC_DeleteSvc('TapiSrvSCardSvr');
BC_DeleteSvc('stisvcWZCSVC');
BC_DeleteSvc('SSDPSRVmnmsrvcEventSystemDnscache');
BC_DeleteSvc('SSDPSRVmnmsrvc');
BC_DeleteSvc('srserviceSwPrvSENSwuauservRSVP');
BC_DeleteSvc('srserviceSwPrvSENSwuauserv');
BC_DeleteSvc('srserviceSwPrv');
BC_DeleteSvc('srserviceNetDDE');
BC_DeleteSvc('ShellHWDetectionAppMgmtBrowser');
BC_DeleteSvc('ShellHWDetectionAppMgmt');
BC_DeleteSvc('SENSwuauserv');
BC_DeleteSvc('SCardSvrNetDDEdsdm');
BC_DeleteSvc('ProtectedStorageRemoteRegistry');
BC_DeleteSvc('PlugPlaygusvcPolicyAgent');
BC_DeleteSvc('NtmsSvcSpooler');
BC_DeleteSvc('NtLmSspNetDDESchedule');
BC_DeleteSvc('NlawinmgmtWmiEventSystemAudioSrv');
BC_DeleteSvc('NlawinmgmtWmi');
BC_DeleteSvc('NetlogonNla');
BC_DeleteSvc('NetlogonCiSvcose');
BC_DeleteSvc('NetlogonCiSvc');
BC_DeleteSvc('NetDDESchedule');
BC_DeleteSvc('NetDDEdsdmNetlogonCiSvcose');
BC_DeleteSvc('LmHostsSENS');
BC_DeleteSvc('gusvcPolicyAgent');
BC_DeleteSvc('FastUserSwitchingCompatibilityUPSAppMgmtHidServ');
BC_DeleteSvc('EventSystemwuauservNetDDEdsdm');
BC_DeleteSvc('EventSystemDnscache');
BC_DeleteSvc('EventSystemAudioSrvNtLmSspNetDDESchedule');
BC_DeleteSvc('EventSystemAudioSrv');
BC_DeleteSvc('dmserverBrowser');
BC_DeleteSvc('CryptSvcMessenger');
BC_DeleteSvc('COMSysAppCiSvcW32Time');
BC_DeleteSvc('COMSysAppCiSvc');
BC_DeleteSvc('AppMgmtHidServ');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.