Меня тоже настиг этот вирус, прочитал что надо сделать выкладываю файлы
Заранее благодарю за помощь)))
Printable View
Меня тоже настиг этот вирус, прочитал что надо сделать выкладываю файлы
Заранее благодарю за помощь)))
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\auto.exe','');
QuarantineFile('C:\DOCUME~1\6F0F~1\LOCALS~1\Temp\k111523980817ow.dll','');
BC_DeleteSvc('xmlprovseclogonUxTuneUpNVSvc');
BC_DeleteSvc('WZCSVCWmiApSrv');
BC_DeleteSvc('WmiApSrvBthServ');
BC_DeleteSvc('winmgmtLmHostsRpcSsPolicyAgent');
BC_DeleteSvc('winmgmtLmHostsCryptSvcseclogonShellHWDetection');
BC_DeleteSvc('winmgmtLmHosts');
BC_DeleteSvc('WebClientCryptSvcseclogonShellHWDetection');
BC_DeleteSvc('W32Timeseclogonstisvc');
BC_DeleteSvc('VSSRDSessMgr');
BC_DeleteSvc('upnphostNetman');
BC_DeleteSvc('TapiSrvClipSrvSysmonLogSpooler');
BC_DeleteSvc('TapiSrvClipSrvSysmonLogRpcSsPolicyAgent');
BC_DeleteSvc('TapiSrvClipSrvSysmonLog');
BC_DeleteSvc('TapiSrvClipSrv');
BC_DeleteSvc('SwPrvWZCSVCSpoolermnmsrvc');
BC_DeleteSvc('SwPrvWZCSVC');
BC_DeleteSvc('SwPrvseclogonMessengerDcomLaunch');
BC_DeleteSvc('SwPrvseclogonMessenger');
BC_DeleteSvc('stisvchelpsvc');
BC_DeleteSvc('srserviceDhcp');
BC_DeleteSvc('Spoolermnmsrvc');
BC_DeleteSvc('SpoolerDcomLaunchRDSessMgrHidServ');
BC_DeleteSvc('SpoolerDcomLaunchRDSessMgr');
BC_DeleteSvc('seclogonUxTuneUpNVSvcRemoteAccess');
BC_DeleteSvc('SpoolerDcomLaunch');
BC_DeleteSvc('seclogonUxTuneUpNVSvc');
BC_DeleteSvc('seclogonUxTuneUp');
BC_DeleteSvc('seclogonstisvcAudioSrvRasManCryptSvc');
BC_DeleteSvc('seclogonstisvc');
BC_DeleteSvc('seclogonShellHWDetection');
BC_DeleteSvc('seclogonMessengerUxTuneUp');
BC_DeleteSvc('seclogonMessenger');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('SCardSvrodserv');
BC_DeleteSvc('SamSsWZCSVCWmiApSrv');
BC_DeleteSvc('RpcSsPolicyAgent');
BC_DeleteSvc('RpcLocatorNtLmSsp');
BC_DeleteSvc('RpcLocatorCryptSvc');
BC_DeleteSvc('RDSessMgrWZCSVC');
BC_DeleteSvc('RDSessMgrHTTPFilterhelpsvc');
BC_DeleteSvc('RDSessMgrBrowser');
BC_DeleteSvc('RasManCryptSvc');
BC_DeleteSvc('RasAutoSCardSvr');
BC_DeleteSvc('ProtectedStoragestisvc');
BC_DeleteSvc('ProtectedStorageodservW32Time');
BC_DeleteSvc('ProtectedStorageodserv');
BC_DeleteSvc('PolicyAgentose');
BC_DeleteSvc('PolicyAgentFastUserSwitchingCompatibility');
BC_DeleteSvc('PlugPlayhelpsvcAudioSrvFastUserSwitchingCompatibilityWmiApSrvBthServ');
BC_DeleteSvc('PlugPlayhelpsvc');
BC_DeleteSvc('NlaPlugPlay');
BC_DeleteSvc('NetDDEPlugPlay');
BC_DeleteSvc('NetDDEdsdmWmiApSrv');
BC_DeleteSvc('NetDDEDnscache');
BC_DeleteSvc('MSDTCNlaPlugPlay');
BC_DeleteSvc('mnmsrvcNetDDEdsdm');
BC_DeleteSvc('MicrosoftRpcSs');
BC_DeleteSvc('MessengerBthServ');
BC_DeleteSvc('lanmanworkstationUMWdfWmdmPmSN');
BC_DeleteSvc('lanmanworkstationUMWdf');
BC_DeleteSvc('lanmanworkstationUMWdfHTTPFilterhelpsvc');
BC_DeleteSvc('HTTPFilterhelpsvc');
BC_DeleteSvc('helpsvcSwPrvWZCSVC');
BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrvBthServ');
BC_DeleteSvc('dmserverseclogonUxTuneUpNVSvc');
BC_DeleteSvc('dmadminDAA06F5MessengerBthServ');
BC_DeleteSvc('DAA06F5RpcSsPolicyAgent');
BC_DeleteSvc('DAA06F5MessengerBthServ');
BC_DeleteSvc('AppMgmtseclogonShellHWDetection');
BC_DeleteSvc('AudioSrvFastUserSwitchingCompatibilityWmiApSrvBthServ');
BC_DeleteSvc('AudioSrvRasManCryptSvc');
BC_DeleteSvc('BthServwscsvc');
BC_DeleteSvc('COMSysAppNlaPlugPlay');
BC_DeleteSvc('CryptSvcseclogonShellHWDetection');
QuarantineFile('C:\WINDOWS\system32\5A9C67EB.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winpu37.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winpu37.sys');
DeleteFile('C:\DOCUME~1\6F0F~1\LOCALS~1\Temp\k111523980817ow.dll');
DeleteFile('C:\WINDOWS\system32\blphcgr1j0et87.scr');
SysCleanAddFile('WinCtrl32.dll');
DeleteFile('C:\auto.exe');
DeleteFile('C:\autorun.inf');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
ExecuteRepair(9);
ExecuteRepair(13);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
[url]http://virusinfo.info/upload_virus.php?tid=29313[/url]
[b]Обновите базы AVZ![/b]
Сделайте новые логи и приложите их к своей теме.
PS Пора уже Service Pack 3 на Windows устанавливать.
Спасибо за помощь, логи прикрепляю.
SP3 учту))
[COLOR="Red"]SpySweeper - деинсталлируйте![/COLOR]
[QUOTE]Восстановление системы: включено[/QUOTE]
[COLOR="Red"]Отключите!!![/COLOR]
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winpu37.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winpu37');
DeleteService('DAA06F5');
DeleteService('winmgmtLmHostsRpcSsPolicyAgentAlerter');
DeleteService('UPSSamSsWZCSVCWmiApSrv');
DeleteService('SharedAccesshelpsvc');
DeleteService('RDSessMgrBrowserSSDPSRV');
DeleteService('DAA06F5SCardSvr');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\k11126196649.exe','');
QuarantineFile('C:\WINDOWS\system32\k111254737212.exe','');
QuarantineFile('C:\WINDOWS\system32\k11125473689.exe','');
QuarantineFile('C:\WINDOWS\system32\k111252237518.exe','');
QuarantineFile('C:\WINDOWS\system32\k11124675386.exe','');
QuarantineFile('C:\WINDOWS\system32\hoxriw.dll','');
QuarantineFile('C:\WINDOWS\system32\fgnxbw.dll','');
QuarantineFile('C:\Documents and Settings\Ирчонок\Local Settings\Temporary Internet Files\Content.IE5\27KRG94F\e47e57844ef30ab4[1].exe','');
QuarantineFile('C:\WINDOWS\system32\lphcgr1j0et87.exe','');
QuarantineFile('C:\WINDOWS\system32\5A9C67EB.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winpu37.sys','');
QuarantineFile('C:\WINDOWS\system32\n1125507940k.exe','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winpu37.sys');
DeleteFile('C:\WINDOWS\system32\5A9C67EB.EXE');
DeleteFile('C:\WINDOWS\system32\lphcgr1j0et87.exe');
DeleteFile('C:\Documents and Settings\Ирчонок\Local Settings\Temporary Internet Files\Content.IE5\27KRG94F\e47e57844ef30ab4[1].exe');
DeleteFile('C:\WINDOWS\system32\fgnxbw.dll');
DeleteFile('C:\WINDOWS\system32\hoxriw.dll');
DeleteFile('C:\WINDOWS\system32\k11124675386.exe');
DeleteFile('C:\WINDOWS\system32\k111252237518.exe');
DeleteFile('C:\WINDOWS\system32\k11125473689.exe');
DeleteFile('C:\WINDOWS\system32\k111254737212.exe');
DeleteFile('C:\WINDOWS\system32\k11126196649.exe');
DeleteFile('C:\WINDOWS\system32\n1125507940k.exe');
DelWinlogonNotifyByKeyName('WinCtrl32');
DeleteFile('srv.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winpu37');
BC_DeleteSvc('DAA06F5');
BC_DeleteSvc('winmgmtLmHostsRpcSsPolicyAgentAlerter');
BC_DeleteSvc('UPSSamSsWZCSVCWmiApSrv');
BC_DeleteSvc('SharedAccesshelpsvc');
BC_DeleteSvc('RDSessMgrBrowserSSDPSRV');
BC_DeleteSvc('DAA06F5SCardSvr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=29313[/URL]
3. Повторите логи.
sry sweeper удалил, как отключить восстановление системы так и не понял ( не спец я в компах). AVZ запускаться перестал и в инете не дает нигде лазять!!!! чего делать?
Спасибо за внимание))