На компе завелся вирус с одноименным названием. Очень надеюсь на Вашу помощь.
Printable View
На компе завелся вирус с одноименным названием. Очень надеюсь на Вашу помощь.
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winip44.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winug02');
DeleteService('Winrr88');
DeleteService('Winpn22');
DeleteService('Winnh44');
DeleteService('Winbg55');
DeleteService('Winbf11');
DeleteService('Winip44');
DeleteService('WZCSVCwinmgmt');
DeleteService('WudfSvclanmanworkstation');
DeleteService('VSSLmHostsupnphostBrowserMSIServer');
DeleteService('VSSLmHosts');
DeleteService('upnphostBrowserMSIServer');
DeleteService('ThemesNVSvc');
DeleteService('TapiSrvwscsvcAppMgmt');
DeleteService('TapiSrvwscsvc');
DeleteService('seclogonwuauserv');
DeleteService('SamSsLmHostsSamSsLmHosts');
DeleteService('SamSsLmHosts');
DeleteService('RDSessMgrwscsvcSchedule');
DeleteService('RDSessMgrwscsvc');
DeleteService('PlugPlayCiSvc');
DeleteService('MicrosoftPlugPlayCiSvcBrowserRasMan');
DeleteService('MicrosoftPlugPlayCiSvc');
DeleteService('MicrosoftHidServ');
DeleteService('DnscacheAlerter');
DeleteService('dmserverAppMgmt');
DeleteService('BrowserRasMan');
DeleteService('BrowserMSIServer');
DeleteService('AlerterProtectedStorage');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winug02.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr88.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpn22.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnh44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winip44.sys','');
QuarantineFile('srv.exe','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnh44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpn22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrr88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winug02.sys');
DeleteFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winug02');
BC_DeleteSvc('Winrr88');
BC_DeleteSvc('Winpn22');
BC_DeleteSvc('Winnh44');
BC_DeleteSvc('Winbg55');
BC_DeleteSvc('Winbf11');
BC_DeleteSvc('Winip44');
BC_DeleteSvc('WZCSVCwinmgmt');
BC_DeleteSvc('WudfSvclanmanworkstation');
BC_DeleteSvc('VSSLmHostsupnphostBrowserMSIServer');
BC_DeleteSvc('VSSLmHosts');
BC_DeleteSvc('upnphostBrowserMSIServer');
BC_DeleteSvc('ThemesNVSvc');
BC_DeleteSvc('TapiSrvwscsvcAppMgmt');
BC_DeleteSvc('TapiSrvwscsvc');
BC_DeleteSvc('seclogonwuauserv');
BC_DeleteSvc('SamSsLmHostsSamSsLmHosts');
BC_DeleteSvc('SamSsLmHosts');
BC_DeleteSvc('RDSessMgrwscsvcSchedule');
BC_DeleteSvc('RDSessMgrwscsvc');
BC_DeleteSvc('PlugPlayCiSvc');
BC_DeleteSvc('MicrosoftPlugPlayCiSvcBrowserRasMan');
BC_DeleteSvc('MicrosoftPlugPlayCiSvc');
BC_DeleteSvc('MicrosoftHidServ');
BC_DeleteSvc('DnscacheAlerter');
BC_DeleteSvc('dmserverAppMgmt');
BC_DeleteSvc('BrowserRasMan');
BC_DeleteSvc('BrowserMSIServer');
BC_DeleteSvc('AlerterProtectedStorage');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=29253[/URL]
3. Повторите логи.
Выполнил выше описанные действия, файл с карантином отправил. :)
Я логов не вижу.
Извиняюсь, последнюю строчку не заметил. Прикладываю новые логи.
Ничего зловредного в логах нет.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[quote]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/quote][quote]9. Мастер поиска и устранения проблем
>> [COLOR=Red]Заблокирована закладка Рабочий стол в окне свойств экрана[/COLOR]
>> [COLOR=Red]Заблокирована закладка Заставка в окне свойств экрана[/COLOR]
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей[/quote]Устраняется в AVZ: "Файл" -> "Мастер поиска и устранения проблем" -> нажать "Пуск".
В найденных проблемах отметить их и нажать "Исправить отмеченные проблемы".
Все сделал в точности как Вы сказали. Прикладываю логи. (Вирусная обоина почему то осталась на месте, ее надо ручками удалить, или еще процесс завершен не до конца?)
Отключите
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
Работает все отлично. Но на всякий случай прикладываю логи. Огромное Вам спасибо Александра :give_rose:, спасибо Ренегад.
Удалите Ad-Aware за бесполезностью.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Ad-Aware удалил, а вот sp3 почему то не хочет ставиться, выскакивает такая ошибка: "Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере".
Проверил, служба криптографии работает, а вот ошибка все равно выскакивает. Может еще что то надо сделать?
Качал сп3 с микрософт.ру (WindowsXP-KB936929-SP3-x86-RUS.exe), так что файл, вроде как, не должен быть битым.
[QUOTE=Nort;277018]
Проверил, служба криптографии работает, а вот ошибка все равно выскакивает.[/QUOTE]Автозапуск стоит? Пуск/Выполнить... набрать [B]cmd[/B] + ВВОД, набрать [B]net stop cryptsvc[/B] +ВВОД
Потом набрать [B]ren %systemroot%\system32\catroot2 oldcatroot2[/B]
Перезапуститься, попробовать повторить установку.
Антивирус и др. резидентные проги выгрузить, ставить в оффлайне.
Сделал как Вы сказали и вот что получилось:
1. C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
C:\Documents and Settings\Nick>
Перезагрузился, сп3 вылетело с той же ошибкой
2. Попробовал еще раз:
C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Отказано в доступе.
Дальше пробовать не стал. А вообще, до этого, у меня служба криптографии стояла на автозапуске.
Войдите в безопасном как Администратор. Удалите после [B]net stop cryptsvc[/B] папку [B]C:\WINDOWS\system32\CatRoot2[/B] в проводнике со всем ее содержимым. Перегрузитесь.
Результат такой:
C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Не удается найти указанный файл.
Установка сп3 прерывается с той же ошибкой. Может просто потому, что винда левая и не проходит тест на вшивость?
[QUOTE=Nort;277055]Может просто потому, что винда левая и не проходит тест на вшивость?[/QUOTE]А чего Вы сразу не сказали, что левая ?
Извиняюсь, просто не посчитал нужным т.к. в России, по-моему, 1% использует лицензию.
Тогда, похоже, вопрос с установкой сп3 можно считать закрытым :)
Спасибо за помощь, и потраченное на меня время.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]