Вручную и с помощью антивирусов NOD32, Ad-aware, Avast удалить не удается-восстанавливает себя после перезагрузки.
Printable View
Вручную и с помощью антивирусов NOD32, Ad-aware, Avast удалить не удается-восстанавливает себя после перезагрузки.
Скачать IceSword.
В нем найти и удалить при помощи force delete:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winmu64.sys
Далее напишу скрипт для удаления всего остального, если Рене не опередит.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winmu64.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winah31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winai31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windk28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winem63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjq52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjr64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winov17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winov74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy85.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winrh41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winry31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintc86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg18.sys','');
DeleteService('Winmu64');
DeleteService('Winag06');
DeleteService('Winah31');
DeleteService('Winai31');
DeleteService('Winbh07');
DeleteService('Windj52');
DeleteService('Windk28');
DeleteService('Winem63');
DeleteService('Winfm86');
DeleteService('Winiq20');
DeleteService('Winjq52');
DeleteService('Winjr64');
DeleteService('Winkq28');
DeleteService('Winkr52');
DeleteService('Winls20');
DeleteService('Winls74');
DeleteService('Winmt30');
DeleteService('Winnu06');
DeleteService('Winou75');
DeleteService('Winov17');
DeleteService('Winov74');
DeleteService('Winpw41');
DeleteService('Winpw53');
DeleteService('Winpw86');
DeleteService('Winqw28');
DeleteService('Winqy85');
DeleteService('Winrh41');
DeleteService('Winry31');
DeleteService('Winsa85');
DeleteService('Winta52');
DeleteService('Wintb30');
DeleteService('Wintb53');
DeleteService('Wintc86');
DeleteService('Winuc20');
DeleteService('Winuc74');
DeleteService('Winvd63');
DeleteService('Winvd85');
DeleteService('Winwe06');
DeleteService('Winwe28');
DeleteService('Winwe30');
DeleteService('Winwe41');
DeleteService('Winxf30');
DeleteService('Winyg18');
DeleteService('ALGEhttpSrv');
DeleteService('AppMgmtRasAutoxmlprov');
DeleteService('AudioSrvNtLmSsp');
DeleteService('AudioSrvWmiApSrv');
DeleteService('BrowserTrkWks');
DeleteService('CiSvcHTTPFilter');
DeleteService('CiSvcHTTPFilterThemes');
DeleteService('CiSvcWmiIrmon');
DeleteService('ClipSrvEventSystem');
DeleteService('ClipSrvPolicyAgent');
DeleteService('ClipSrvPolicyAgentSysmonLogaspnet_state');
DeleteService('clr_optimization_v2.0.50727_32WmdmPmSN');
DeleteService('DhcpWmdmPmSN');
DeleteService('EhttpSrvSwPrv');
DeleteService('EhttpSrvSwPrvNetman');
DeleteService('EhttpSrvSwPrvNetmangusvc');
DeleteService('EhttpSrvSwPrvstisvc');
DeleteService('EhttpSrvSysmonLogaspnet_state');
DeleteService('EhttpSrvSysmonLogaspnet_state Intelligent Application Manager (IAM)');
DeleteService('ERSvcSCardSvr');
DeleteService('EventSystemSysmonLog');
DeleteService('ForcewareWebInterfaceHidServRSVP');
DeleteService('gusvcHidServRSVP');
DeleteService('HidServclr_optimization_v2.0.50727_32');
DeleteService('HidServRSVP');
DeleteService('HTTPFilterRpcSsCCALib8CiSvcWmiIrmon');
DeleteService('HTTPFilterRpcSsCCALib8CiSvcWmiIrmonRemoteAccess');
DeleteService('mnmsrvcALG');
DeleteService('MSDTC Intelligent Application Manager (IAM)');
DeleteService('MSDTClanmanserver');
DeleteService('MSDTClanmanserverDcomLaunch');
DeleteService('NetDDEdsdmupnphost');
DeleteService('NetDDERasAutoekrn');
DeleteService('NetlogonForcewareWebInterface');
DeleteService('NlaNetlogon');
DeleteService('NtmsSvcCiSvcHTTPFilter');
DeleteService('RasAutoekrn');
DeleteService('RasAutoekrnTrkWks');
DeleteService('RasAutoekrnTrkWks LM Service');
DeleteService('RasAutoPolicyAgent');
DeleteService('RasAutoPolicyAgent Driver HPZ12');
DeleteService('RasAutoxmlprov');
DeleteService('RpcLocatorclr_optimization_v2.0.50727_32');
DeleteService('RpcLocatorclr_optimization_v2.0.50727_32ForcewareWebInterfaceHidServRSVP');
DeleteService('RpcLocatorEhttpSrvSwPrv');
DeleteService('RpcSsCCALib8');
DeleteService('RpcSsCCALib8CiSvcWmiIrmon');
DeleteService('RpcSsEhttpSrvSwPrv');
DeleteService('RpcSswuauservWudfSvcMSSQL$SONY_MEDIAMGR');
DeleteService('SENSodserv');
DeleteService('SpoolerFastUserSwitchingCompatibility');
DeleteService('SpoolerTapiSrv');
DeleteService('SQLAgent$SONY_MEDIAMGRNetman');
DeleteService('srservicegusvcHidServRSVP');
DeleteService('SysmonLogaspnet_state');
DeleteService('SysmonLogaspnet_statelanmanworkstation');
DeleteService('SysmonLogaspnet_statelanmanworkstationNetDDERasAutoekrn');
DeleteService('TapiSrvFastUserSwitchingCompatibility');
DeleteService('W32TimeEventlog');
DeleteService('WmiIrmon');
DeleteService('WMPNetworkSvcWmi');
DeleteService('wuauservWudfSvc');
DeleteService('wuauservWudfSvcMSSQL$SONY_MEDIAMGR');
DeleteService('WZCSVCERSvcSCardSvr');
DeleteService('WZCSVCTapiSrv');
DeleteService('WZCSVCTapiSrvFastUserSwitchingCompatibility');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winem63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfm86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiq20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjr64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrh41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintc86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxf30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg18.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
BC_ImportAll;
ExecuteSysClean;BC_DeleteSvc('Winmu64');
BC_DeleteSvc('Winag06');
BC_DeleteSvc('Winah31');
BC_DeleteSvc('Winai31');
BC_DeleteSvc('Winbh07');
BC_DeleteSvc('Windj52');
BC_DeleteSvc('Windk28');
BC_DeleteSvc('Winem63');
BC_DeleteSvc('Winfm86');
BC_DeleteSvc('Winiq20');
BC_DeleteSvc('Winjq52');
BC_DeleteSvc('Winjr64');
BC_DeleteSvc('Winkq28');
BC_DeleteSvc('Winkr52');
BC_DeleteSvc('Winls20');
BC_DeleteSvc('Winls74');
BC_DeleteSvc('Winmt30');
BC_DeleteSvc('Winnu06');
BC_DeleteSvc('Winou75');
BC_DeleteSvc('Winov17');
BC_DeleteSvc('Winov74');
BC_DeleteSvc('Winpw41');
BC_DeleteSvc('Winpw53');
BC_DeleteSvc('Winpw86');
BC_DeleteSvc('Winqw28');
BC_DeleteSvc('Winqy85');
BC_DeleteSvc('Winrh41');
BC_DeleteSvc('Winry31');
BC_DeleteSvc('Winsa85');
BC_DeleteSvc('Winta52');
BC_DeleteSvc('Wintb30');
BC_DeleteSvc('Wintb53');
BC_DeleteSvc('Wintc86');
BC_DeleteSvc('Winuc20');
BC_DeleteSvc('Winuc74');
BC_DeleteSvc('Winvd63');
BC_DeleteSvc('Winvd85');
BC_DeleteSvc('Winwe06');
BC_DeleteSvc('Winwe28');
BC_DeleteSvc('Winwe30');
BC_DeleteSvc('Winwe41');
BC_DeleteSvc('Winxf30');
BC_DeleteSvc('Winyg18');
BC_DeleteSvc('ALGEhttpSrv');
BC_DeleteSvc('AppMgmtRasAutoxmlprov');
BC_DeleteSvc('AudioSrvNtLmSsp');
BC_DeleteSvc('AudioSrvWmiApSrv');
BC_DeleteSvc('BrowserTrkWks');
BC_DeleteSvc('CiSvcHTTPFilter');
BC_DeleteSvc('CiSvcHTTPFilterThemes');
BC_DeleteSvc('CiSvcWmiIrmon');
BC_DeleteSvc('ClipSrvEventSystem');
BC_DeleteSvc('ClipSrvPolicyAgent');
BC_DeleteSvc('ClipSrvPolicyAgentSysmonLogaspnet_state');
BC_DeleteSvc('clr_optimization_v2.0.50727_32WmdmPmSN');
BC_DeleteSvc('DhcpWmdmPmSN');
BC_DeleteSvc('EhttpSrvSwPrv');
BC_DeleteSvc('EhttpSrvSwPrvNetman');
BC_DeleteSvc('EhttpSrvSwPrvNetmangusvc');
BC_DeleteSvc('EhttpSrvSwPrvstisvc');
BC_DeleteSvc('EhttpSrvSysmonLogaspnet_state');
BC_DeleteSvc('EhttpSrvSysmonLogaspnet_state Intelligent Application Manager (IAM)');
BC_DeleteSvc('ERSvcSCardSvr');
BC_DeleteSvc('EventSystemSysmonLog');
BC_DeleteSvc('ForcewareWebInterfaceHidServRSVP');
BC_DeleteSvc('gusvcHidServRSVP');
BC_DeleteSvc('HidServclr_optimization_v2.0.50727_32');
BC_DeleteSvc('HidServRSVP');
BC_DeleteSvc('HTTPFilterRpcSsCCALib8CiSvcWmiIrmon');
BC_DeleteSvc('HTTPFilterRpcSsCCALib8CiSvcWmiIrmonRemoteAccess');
BC_DeleteSvc('mnmsrvcALG');
BC_DeleteSvc('MSDTC Intelligent Application Manager (IAM)');
BC_DeleteSvc('MSDTClanmanserver');
BC_DeleteSvc('MSDTClanmanserverDcomLaunch');
BC_DeleteSvc('NetDDEdsdmupnphost');
BC_DeleteSvc('NetDDERasAutoekrn');
BC_DeleteSvc('NetlogonForcewareWebInterface');
BC_DeleteSvc('NlaNetlogon');
BC_DeleteSvc('NtmsSvcCiSvcHTTPFilter');
BC_DeleteSvc('RasAutoekrn');
BC_DeleteSvc('RasAutoekrnTrkWks');
BC_DeleteSvc('RasAutoekrnTrkWks LM Service');
BC_DeleteSvc('RasAutoPolicyAgent');
BC_DeleteSvc('RasAutoPolicyAgent Driver HPZ12');
BC_DeleteSvc('RasAutoxmlprov');
BC_DeleteSvc('RpcLocatorclr_optimization_v2.0.50727_32');
BC_DeleteSvc('RpcLocatorclr_optimization_v2.0.50727_32ForcewareWebInterfaceHidServRSVP');
BC_DeleteSvc('RpcLocatorEhttpSrvSwPrv');
BC_DeleteSvc('RpcSsCCALib8');
BC_DeleteSvc('RpcSsCCALib8CiSvcWmiIrmon');
BC_DeleteSvc('RpcSsEhttpSrvSwPrv');
BC_DeleteSvc('RpcSswuauservWudfSvcMSSQL$SONY_MEDIAMGR');
BC_DeleteSvc('SENSodserv');
BC_DeleteSvc('SpoolerFastUserSwitchingCompatibility');
BC_DeleteSvc('SpoolerTapiSrv');
BC_DeleteSvc('SQLAgent$SONY_MEDIAMGRNetman');
BC_DeleteSvc('srservicegusvcHidServRSVP');
BC_DeleteSvc('SysmonLogaspnet_state');
BC_DeleteSvc('SysmonLogaspnet_statelanmanworkstation');
BC_DeleteSvc('SysmonLogaspnet_statelanmanworkstationNetDDERasAutoekrn');
BC_DeleteSvc('TapiSrvFastUserSwitchingCompatibility');
BC_DeleteSvc('W32TimeEventlog');
BC_DeleteSvc('WmiIrmon');
BC_DeleteSvc('WMPNetworkSvcWmi');
BC_DeleteSvc('wuauservWudfSvc');
BC_DeleteSvc('wuauservWudfSvcMSSQL$SONY_MEDIAMGR');
BC_DeleteSvc('WZCSVCERSvcSCardSvr');
BC_DeleteSvc('WZCSVCTapiSrv');
BC_DeleteSvc('WZCSVCTapiSrvFastUserSwitchingCompatibility');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Простите, чуть не понял следующее:
1.Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
То есть добавить с помощью AVZ в карантин надо уже скопированные и переименованные(в "malware",как например как у вас в соответствующей теме написано) Ice sword'ом файлы?
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
У меня постоянно активно приложение "мастер нового оборудования" и соответственно висит в панели задач, если его убить,оно тот час же появляется назад. Скорее всего оно связано с деятельностью данного трояна,так как никакого такого оборудования нового нет и навязчивое очень. Пока его как-то не закрыть то все следующие шаги будут некорректными?
Спасибо за помощь.
1 да скопированные и переименованные
2 пусть остается мастер нового оборудования
новые логи.
сделал вроде все но система очень тормозит. с трудом получается перезагрузить из меню "пуск" или вызвать диспетчер задач.
[COLOR=Red]Lavasoft Ad-Aware - деинсталлируйте![/COLOR]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_DeleteSvc('AlerterWmi');
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится!
В системе два антивируса: NOD32 и Avast. Один из них уберите.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] i:\\2\\malware1 - [B]Trojan-Downloader.Win32.Mutant.bgz[/B] (DrWEB: BackDoor.Bulknet.238)[*] i:\\2\\malware2 - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[/LIST][/LIST]