Добрый день.
Стал подтормаживать интернет.Посмотрел netstat'ом сетевые подключения, оказалось очень много обращений к непонятным серверам, есть подозрения на спам бота.
Printable View
Добрый день.
Стал подтормаживать интернет.Посмотрел netstat'ом сетевые подключения, оказалось очень много обращений к непонятным серверам, есть подозрения на спам бота.
Где логи?
Логи прекрепил, напутал сначало просто=)
Восстановление отключить, базы AVZ обновит!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winwg20');
DeleteService('Wintj64');
DeleteService('Winke66');
DeleteService('Wingn72');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwg20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintj64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winke66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winja11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn72.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winja11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winke66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintj64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwg20.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winwg20');
BC_DeleteSvc('Wintj64');
BC_DeleteSvc('Winke66');
BC_DeleteSvc('Wingn72');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пришлите карантин по правилам и повторите логи...
повторные логи.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winoh12.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winoh12');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winoh12.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winoh12');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
новые логи.
Елки-палки, ничего у вас не получается :(
В IceSword найдите эти файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winyg22.sys[/CODE]
На каждый нажмите правой кнопкой мыши и выберите Force Delete затем сразу скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyg22');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winyg22.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winyg22');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
вроде помогло =)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
В логах чисто, жалобы есть?
Жалоб нет, Большое спасибо)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bpu[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]