службы виндовс ругаются на инфекции
компьютер сильно тормозит
Касперский три дня назад находил mutant, затем слетел
Printable View
службы виндовс ругаются на инфекции
компьютер сильно тормозит
Касперский три дня назад находил mutant, затем слетел
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide
O4 - HKLM\..\Run: [buritos] buritos.exe
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: avicore - avicore.dll (file missing)
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: __c002C71 - C:\WINDOWS\SYSTEM32\__c002C71.jpg
[/code]
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe','');
QuarantineFile('C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winpv27.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\__c002C71.jpg','');
DeleteFile('C:\WINDOWS\SYSTEM32\__c002C71.jpg');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winpv27.sys');
DeleteFile('C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe');
DeleteFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe');
DeleteFile('c:\windows\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winxe84');
BC_DeleteSvc('Winxe52');
BC_DeleteSvc('Winwd16');
BC_DeleteSvc('Winqw27');
BC_DeleteSvc('Winnt51');
BC_DeleteSvc('Winms38');
BC_DeleteSvc('Winms16');
BC_DeleteSvc('Winlr51');
BC_DeleteSvc('Winhn52');
BC_DeleteSvc('Wingm73');
BC_DeleteSvc('Winci51');
BC_DeleteSvc('Winbh05');
BC_DeleteSvc('Winag40');
BC_DeleteSvc('WmiMessenger');
BC_DeleteSvc('winmgmtMessenger');
BC_DeleteSvc('WebClientaspnet_state');
BC_DeleteSvc('W32TimeTermService');
BC_DeleteSvc('VSSClipSrvSamSsAudioSrv');
BC_DeleteSvc('VSSClipSrvSamSs');
BC_DeleteSvc('VSSClipSrv');
BC_DeleteSvc('UPSSMTPSVC');
BC_DeleteSvc('ThemesRemoteRegistry');
BC_DeleteSvc('TapiSrvMSMQTriggersRpcSs');
BC_DeleteSvc('TapiSrvERSvc');
BC_DeleteSvc('TapiSrvdmserver');
BC_DeleteSvc('SysmonLogdmserver');
BC_DeleteSvc('SSDPSRVW32Time');
BC_DeleteSvc('SpoolerNtmsSvc');
BC_DeleteSvc('SNMPRemoteRegistry');
BC_DeleteSvc('ShellHWDetectionSpooler');
BC_DeleteSvc('PlugPlayWZCSVC');
BC_DeleteSvc('MSMQTriggersRpcSs');
BC_DeleteSvc('MSMQTriggerslanmanserver');
BC_DeleteSvc('MSFtpsvcSENS');
BC_DeleteSvc('MessengerShellHWDetection');
BC_DeleteSvc('ImapiServiceSNMP');
BC_DeleteSvc('HidServSysmonLog');
BC_DeleteSvc('HidServProtectedStorage');
BC_DeleteSvc('helpsvcMSMQ');
BC_DeleteSvc('EventSystemIISADMIN');
BC_DeleteSvc('AppMgmtseclogon');
BC_DeleteSvc('AlerterWmi');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('Alerter', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29937[/url]).
Сделайте новые логи.
теперь еще и перезагружаться часто стал
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winpv27.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} ');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winpv27.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('c:\Recycled\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
DeleteService('Winpv27');
DeleteService('TlntSvrSCardDrv');
DeleteService('SNMPSSDPSRV');
DeleteService('MessengerMessengerShellHWDetection');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winpv27.sys');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('c:\Recycled\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winpv27');
BC_DeleteSvc('TlntSvrSCardDrv');
BC_DeleteSvc('SNMPSSDPSRV');
BC_DeleteSvc('MessengerMessengerShellHWDetection');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\Winpv27.sys)
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
C:\WINDOWS\SYSTEM32\WinCtrl32.dll не удаляется
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
удалился с 4-го раза, но что делать с C:\WINDOWS\system32\Drivers\Winpv27.sys
непонятно
[QUOTE=yshl;281846]
, но что делать с C:\WINDOWS\system32\Drivers\Winpv27.sys
непонятно[/QUOTE]IceSword ом не удаляется? Выполняйте скрипт, делайте логи, будм смотреть.
были проблемы с инетом
все удаляется
в карантин не хочет копироваться C:\WINDOWS\system32\Drivers\Winpv27.sys
[QUOTE=yshl;282074]
в карантин не хочет копироваться C:\WINDOWS\system32\Drivers\Winpv27.sys[/QUOTE]Убейте его IseSword, повторите логи.
пока ругается
1. Скачать архив: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку [B]Scan for Rootkits[/B]
6. Скопировать скрипт в окно:
[CODE]files to delete:
c:\windows\system32\braviax.exe
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winpv27.sys
[/CODE]
7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
11. Логи по правилам повторить.
система жутко тормозит
ругань пропала
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: __c002C71 - __c002C71.jpg (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rsexduc.sys','');
QuarantineFile('C:\Documents and Settings\Nata\Local Settings\Temporary Internet Files\Content.IE5\A1SR6HGP\Install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv27.sys','');
DeleteService('Winpv27');
DeleteService('SysmonLogImapiService');
DeleteService('SamSsProtectedStorage');
DeleteService('RDSessMgrSwPrv');
DeleteService('EventSystemTlntSvrSCardDrv');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Nata\Local Settings\Temporary Internet Files\Content.IE5\A1SR6HGP\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rsexduc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winpv27');
BC_DeleteSvc('SysmonLogImapiService');
BC_DeleteSvc('SamSsProtectedStorage');
BC_DeleteSvc('RDSessMgrSwPrv');
BC_DeleteSvc('EventSystemTlntSvrSCardDrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
все равно притормаживает
[QUOTE=yshl;282160]все равно притормаживает[/QUOTE]В логах ничего зловредного не видно.
Посмотрите в диспетчере задач или ProcessExplorer - кто грузит систему.
вроде все
спасибо за помощь
с меня причитается
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
блин новая проблема
не удается поставить лицензионного касперского
ругается на drweb который давно удален
Запустите АВЗ, Сервис/Поиск по реестру, поищите связанные с Др.Веб ключи и удалите их.
Можете скачать [url]http://www.glarysoft.com/rr.html?tag=download[/url] и почистить реестр.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\nata\\local settings\\temporary internet files\\content.ie5\\a1sr6hgp\\install[1].exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\program files\\xpsecuritycenter\\xpsecuritycenter.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.ag[/B] (DrWEB: archive:)[*] c:\\windows\\system32\\__c002c71.jpg - [B]Trojan-Clicker.Win32.Agent.cwd[/B] (DrWEB: Trojan.Virtumod.466)[*] c:\\windows\\system32\\_scui.cpl - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.af[/B] (DrWEB: Trojan.Fakealert.1317)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bhl[/B] (DrWEB: BackDoor.Bulknet.238)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[/LIST][/LIST]