Здравствуйте! Касперский обнаружил троянскую программу, удаление невозможно.
Прикрепляю логи:
[ATTACH]72823[/ATTACH]
[ATTACH]72824[/ATTACH]
[ATTACH]72825[/ATTACH]
Printable View
Здравствуйте! Касперский обнаружил троянскую программу, удаление невозможно.
Прикрепляю логи:
[ATTACH]72823[/ATTACH]
[ATTACH]72824[/ATTACH]
[ATTACH]72825[/ATTACH]
[quote]Восстановление системы: включено[/quote]
Отключите
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\WINDOWS\system32\grddrv32.cpl','');
QuarantineFile('e:\windows\system32\svchost.exe','');
QuarantineFile('E:\Poker\Titan Poker\casino.exe','');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('E:\WINDOWS\System32\Drivers\Winbs03.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Wincs15.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winee57.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winia46.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winmd82.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winnn47.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winnv03.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Wintt57.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winwn60.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP336\A0039541.sys');
DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP337\A0040617.sys');
DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP337\A0040618.sys');
DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP339\A0043635.sys');
DeleteFile('E:\WINDOWS\system32\drivers\Winlc48.sys');
DeleteService('Winwn60');
DeleteService('Wintt57');
DeleteService('Winnv03');
DeleteService('Winnn47');
DeleteService('Winmd82');
DeleteService('Winia46');
DeleteService('Winee57');
DeleteService('Wincs15');
DeleteService('Winbs03');
DeleteService('wuauservUPS');
DeleteService('wuauservTrkWks');
DeleteService('WmiShellHWDetection');
DeleteService('TermServicedmserver');
DeleteService('SysmonLogNVSvcAVP');
DeleteService('ShellHWDetectionShellHWDetection');
DeleteService('ShellHWDetectionAppMgmt');
DeleteService('RDSessMgrVSS');
DeleteService('ProtectedStorageMSIServer');
DeleteService('PolicyAgentNtmsSvc');
DeleteService('NVSvcAVP');
DeleteService('NtLmSspwuauserv');
DeleteService('NlaNVSvc');
DeleteService('NetDDEdsdmSCardSvr');
DeleteService('MessengerCryptSvcW32Time');
DeleteService('LmHostsMSDTC');
DeleteService('lanmanworkstationTermService');
DeleteService('lanmanserverTrkWksPolicyAgent');
DeleteService('lanmanserverTrkWks');
DeleteService('EventSystemLmHosts');
DeleteService('CryptSvcW32Time');
DeleteService('CryptSvcNetDDEdsdmSCardSvr');
DeleteService('clr_optimization_v2.0.50727_32clr_optimization_v2.0.50727_32');
DeleteService('AlerterVSS');
BC_ImportALL;
BC_DeleteSvc('wuauservUPS');
BC_DeleteSvc('wuauservTrkWks');
BC_DeleteSvc('WmiShellHWDetection');
BC_DeleteSvc('TermServicedmserver');
BC_DeleteSvc('SysmonLogNVSvcAVP');
BC_DeleteSvc('ShellHWDetectionShellHWDetection');
BC_DeleteSvc('ShellHWDetectionAppMgmt');
BC_DeleteSvc('RDSessMgrVSS');
BC_DeleteSvc('ProtectedStorageMSIServer');
BC_DeleteSvc('PolicyAgentNtmsSvc');
BC_DeleteSvc('NVSvcAVP');
BC_DeleteSvc('NtLmSspwuauserv');
BC_DeleteSvc('NlaNVSvc');
BC_DeleteSvc('NetDDEdsdmSCardSvr');
BC_DeleteSvc('MessengerCryptSvcW32Time');
BC_DeleteSvc('LmHostsMSDTC');
BC_DeleteSvc('lanmanworkstationTermService');
BC_DeleteSvc('lanmanserverTrkWksPolicyAgent');
BC_DeleteSvc('lanmanserverTrkWks');
BC_DeleteSvc('EventSystemLmHosts');
BC_DeleteSvc('CryptSvcW32Time');
BC_DeleteSvc('CryptSvcNetDDEdsdmSCardSvr');
BC_DeleteSvc('clr_optimization_v2.0.50727_32clr_optimization_v2.0.50727_32');
BC_DeleteSvc('AlerterVSS');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE] O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\SYSTEM32\WinCtrl32.dll [/CODE]
высылаю карантин. Посмотрите пожалуйста!!!
Спасибо за помощь!
[QUOTE=Trinn;277738]высылаю карантин. [/QUOTE]карантин проверяют аналитики. Зайдите через пару часов и напомите о себе.
ПС: Спасибо у нас нажимают ;) [IMG]http://virusinfo.info/images/buttonsru/post_thanks.gif[/IMG]
не получилось сразу отправить как надо...
:slow::D
[IMG]http://virusinfo.info/images/buttonsru/post_thanks.gif[/IMG]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp336\\a0039541.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp337\\a0040617.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp337\\a0040618.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp339\\a0043635.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] e:\\windows\\system32\\drivers\\winlc48.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] e:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bdk[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]