Вчера весь вечер бился, пока не нашёл virusinfo :)
Printable View
Вчера весь вечер бился, пока не нашёл virusinfo :)
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\drivers\Winmv22.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvx61');
DeleteService('Wints83');
DeleteService('Winta68');
DeleteService('Winrm37');
DeleteService('Winrj43');
DeleteService('Winrc78');
DeleteService('Winqp81');
DeleteService('Winkc48');
DeleteService('Winjb32');
DeleteService('Winev85');
DeleteService('Wined04');
DeleteService('Wincp57');
DeleteService('Winbv15');
DeleteService('Winbk04');
DeleteService('Winbh24');
DeleteService('Winan72');
DeleteService('Winag81');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvx61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrm37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrc78.sys','');
QuarantineFile('Winqp81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkc48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjb32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winev85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wined04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincp57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbv15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbk04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winan72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag81.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winan72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbk04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbv15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincp57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wined04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjb32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkc48.sys');
DeleteFile('Winqp81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrc78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrm37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvx61.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winvx61');
BC_DeleteSvc('Wints83');
BC_DeleteSvc('Winta68');
BC_DeleteSvc('Winrm37');
BC_DeleteSvc('Winrj43');
BC_DeleteSvc('Winrc78');
BC_DeleteSvc('Winqp81');
BC_DeleteSvc('Winkc48');
BC_DeleteSvc('Winjb32');
BC_DeleteSvc('Winev85');
BC_DeleteSvc('Wined04');
BC_DeleteSvc('Wincp57');
BC_DeleteSvc('Winbv15');
BC_DeleteSvc('Winbk04');
BC_DeleteSvc('Winbh24');
BC_DeleteSvc('Winan72');
BC_DeleteSvc('Winag81');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=29275[/URL]
3. Повторите логи.
[I]Файл сохранён как[/I][I]080830_050831_virus_48b91c1fcfce3.zip[/I][I]Размер файла[/I][I]22593[/I][I]MD5[/I][I]41b1db2bc4f10f0a7ec102a6074f8b78[/I]
Карантин выгрузил
Новые логи.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - F:\Vesonablydateli\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - F:\Vesonablydateli\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winph11');
BC_DeleteSvc('Winpg37');
BC_DeleteSvc('Winnf37');
BC_DeleteSvc('Winmv22');
BC_DeleteSvc('Winkl26');
BC_DeleteSvc('Windu87');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Готово.
Новые логи:
Логи чистые.
Какие-то проблемы остались?
Видимых проблем нет. Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bdd[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]