При каждой загрузке нод находит эти трояны. Они качают постоянно чето.
Логи.
Printable View
При каждой загрузке нод находит эти трояны. Они качают постоянно чето.
Логи.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn63.sys','');
QuarantineFile('WinCtrl32.dll','');
DeleteService('RpcSsSSDPSRV');
DeleteService('ShellHWDetectionSQLAgent$SONY_MEDIAMGR');
DeleteService('TlntSvrEventlog');
DeleteService('Winhn63');
DeleteService('Winls16');
DeleteService('Winub52');
DeleteService('Winxe85');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe85.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('RpcSsSSDPSRV');
BC_DeleteSvc('ShellHWDetectionSQLAgent$SONY_MEDIAMGR');
BC_DeleteSvc('TlntSvrEventlog');
BC_DeleteSvc('Winhn63');
BC_DeleteSvc('Winls16');
BC_DeleteSvc('Winub52');
BC_DeleteSvc('Winxe85');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Done
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\System32\Drivers\Winpv06.sys
C:\WINDOWS\System32\Drivers\Winvc52.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvc52');
DeleteService('Winpv06');
DeleteService('seclogonRSVP');
DeleteService('EhttpSrvDcomLaunch');
DeleteService('ALGVSS');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winvc52');
BC_DeleteSvc('Winpv06');
BC_DeleteSvc('seclogonRSVP');
BC_DeleteSvc('EhttpSrvDcomLaunch');
BC_DeleteSvc('ALGVSS');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[quote]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/quote]4. Повторите логи.
[QUOTE]C:\WINDOWS\System32\Drivers\Winpv06.sys
C:\WINDOWS\System32\Drivers\Winvc52.sys[/QUOTE]
не могу найти, сейчас проделаю остальное.
Done
Ничего зловредного в логах нет.
Спасибо. Будем следить )
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]