Завелся зверь, после каждой перезагрузки nod его изолирует, но победить не может.
Printable View
Завелся зверь, после каждой перезагрузки nod его изолирует, но победить не может.
пофиксить с помощью HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Отключите
- ПК от интернета/локалки
- Антивирус nod
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{43D29D14-460E-4F3A-9037-E60F11EF12F0}');
DelBHO('{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}');
QuarantineFile('C:\WINNT\System32\drivers\Winxk64.sys','');
QuarantineFile('C:\WINNT\System32\drivers\Winwe42.sys','');
QuarantineFile('C:\WINNT\System32\drivers\Winoy46.sys','');
QuarantineFile('C:\WINNT\System32\drivers\Winmp81.sys','');
QuarantineFile('C:\WINNT\System32\drivers\Winlo28.sys','');
QuarantineFile('C:\WINNT\System32\drivers\Winbg68.sys','');
DeleteService('Ttc53');
QuarantineFile('C:\WINNT\System32\Drivers\Ttc53.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINNT\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINNT\System32\Drivers\Rha10.sys','');
QuarantineFile('C:\WINNT\system32\Drivers\Pcouffin.sys','');
QuarantineFile('C:\WINNT\System32\Drivers\Mbg00.sys','');
QuarantineFile('C:\WINNT\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINNT\system32\drivers\hardlock.sys','');
TerminateProcessByName('c:\winnt\system32\cpl32ver.exe');
QuarantineFile('c:\winnt\system32\cpl32ver.exe','');
DeleteFile('c:\winnt\system32\cpl32ver.exe');
DeleteFile('C:\WINNT\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINNT\System32\Drivers\Ttc53.sys');
DeleteFile('C:\WINNT\System32\drivers\Winbg68.sys');
DeleteFile('C:\WINNT\System32\drivers\Winlo28.sys');
DeleteFile('C:\WINNT\System32\drivers\Winmp81.sys');
DeleteFile('C:\WINNT\System32\drivers\Winoy46.sys');
DeleteFile('C:\WINNT\System32\drivers\Winwe42.sys');
DeleteFile('C:\WINNT\System32\drivers\Winxk64.sys');
DeleteService('Winbg68');
DeleteService('Winlo28');
DeleteService('Winmp81');
DeleteService('Winoy46');
DeleteService('Winwe42');
DeleteService('Winxk64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.
[/code]
Сделайте повторные логи по правилам.
Закачайте карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=30295[/url]
В соответствии с инструкциями
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Yyr78');
BC_DeleteSvc('Wyj72');
BC_DeleteSvc('Rha10');
BC_DeleteSvc('Qgl33');
BC_DeleteSvc('Mbg00');
BC_DeleteSvc('Eec52');
BC_DeleteSvc('TermServicestisvc');
BC_DeleteSvc('NetDDEdsdmsrservice');
BC_DeleteSvc('napagentPolicyAgent');
BC_DeleteSvc('DnscacheImapiService');
BC_DeleteSvc('Dhcp Smart');
DeleteFile('C:\WINNT\System32\Drivers\Qgl33.sys');
DeleteFile('C:\WINNT\System32\Drivers\Rha10.sys');
DeleteFile('C:\WINNT\System32\Drivers\Wyj72.sys');
DeleteFile('C:\WINNT\System32\Drivers\Yyr78.sys');
DeleteFile('C:\WINNT\System32\Drivers\Mbg00.sys');
DeleteFile('C:\WINNT\System32\Drivers\Eec52.sys');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи с п.10 Правил
Обновленные логи после скрипта
В логах на мой взгляд чисто. Еще какие-то проблемы остались?
Сам то я не сильно продвинутый, а тут как на зло сис админ наш съехал на недельку, вот я и маялся самостоятельно.
В любом случае большое человеческое.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\cpl32ver.exe - [B]Trojan.Win32.Crypt.ua[/B] (DrWEB: BackDoor.Bulknet.237)[/LIST][/LIST]