Printable View
Добрый вечер!
Вот такая вот ересь. Вылетает спонтанно, но т.к. я приезжающий админ - никак не могу с ней совпасть.
Реестр чистил органайзером. Весь мусор и времянку поудалял. Др-вебом полную проверку делал.
Надеюсь на Вашу помощь!
П.С. Кстати компьютер как то медленно работает, может что заметите.
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('msupdate.sys','');
StopService('oseSchedule');
StopService('WmdmPmSNwuauserv');
StopService('msupdate');
StopService('EventlogBITS');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\BttnCm.dll','');
QuarantineFile('msupdate.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msupdate.sys','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\srv.exe');
DeleteFile('C:\WINDOWS\system32\srv.exe');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\system32\drivers\msupdate.sys');
DeleteService('oseSchedule');
DeleteService('WmdmPmSNwuauserv');
DeleteService('msupdate');
DeleteService('EventlogBITS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('oseSchedule');
BC_DeleteSvc('WmdmPmSNwuauserv');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('EventlogBITS');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Спасибо.
Устройство удалил.
Карантин выслал.
Собираю новые логи.
П.С. После сбора первых логов -был установлен пакет всех критических обновлений винды вышедших после SP3. Надеюсь, это не затруднит Вам анализ. На всякий случай прилепляю лог установки заплаток.
Новые логи после выполнения скрипта и фикса хайджека.
Жду дальнейших указаний.
Уважаемый [B]Rene-gad[/B], вы не забыли про меня??? А то домой уже хочется:(
Сижу на работе, жду Ваших комментов...или сегодня не ждать?
[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]
П.С. Проверил, Ad-Aware 8.1
Удалено 28 объектов и 6 в карантине заЛогить не успел - перезагрузка.
Поехал-ка я домой.....Спасибо за помощь!
[QUOTE='kesha333;494948']Уважаемый Rene-gad, вы не забыли про меня???[/QUOTE]Хэлперы тоже люди. Им тоже нужно отдыхать
Выполните скрипт в AVZ
[code]begin
DelBHO('{3C2B0505-43AA-4576-A453-162080D9B531}');
DeleteFile('C:\WINDOWS\system32\BttnCm.dll');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
[QUOTE='thyrex;495048']Хэлперы тоже люди. Им тоже нужно отдыхать[/QUOTE]
Да это понятно, но можно было б хоть предупредить что на сегодня консультация закончена что б я не ждал на работе 2 часа тыкая в F5:)
[B]thyrex[/B],по Вашему мнению это окончательные действия с этим компом или после скрипта потребуются ещё дополнительные??? Просто я на работе в врядли появлюсь на этой неделе, но по телефону смогу юзверу объяснить как выполнить скрипт, а вот сделать новые логи, думаю, будет ему проблематично:)
[QUOTE=kesha333;495090]можно было б хоть предупредить что на сегодня консультация закончена[/QUOTE]
Никого предупреждать мы не будем, т.к. у нас форум, а не хотлайн, и появление тут хелперов не запрограммировано. У кого есть время и желание - приходит и помогает.
[QUOTE]после скрипта потребуются ещё дополнительные???[/QUOTE]
Увидим логи - будем решать.
[QUOTE]смогу юзверу объяснить как выполнить скрипт, а вот сделать новые логи, думаю, будет ему проблематично[/QUOTE]Почему? Пусть правила читает, они даже для непродвинутых доступны.
Всем привет!
Прошу прощения за задержку, только добрался до работы.
Всё сделал. Выкладываю новые логи.
Жду Ваших комментариев.
Заранее спасибо.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('Winuc53');
DeleteService('Winov75');
DeleteService('Winjq18');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq18.sys');
DeleteFile('C:\WINDOWS\system32\BttnCm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Сделайте новые логи
Привет!
Всё сделал.
Выкладываю новые логи.
В логах чисто.
Посетите [url=http://update.microsoft.com/]Microsoft Update[/url] для установки последних обновлений безопасности
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\bttncm.dll - [B]Trojan.Win32.Smardf.fuz[/B] ( BitDefender: Gen:Adware.Heur.hC4@yaHxcSn, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]