Опять Winlock

Printable View

18.11.2009, 14:49
Denis79

Опять Winlock

Просит отправить смс для активации.
Логи приложил
18.11.2009, 14:55
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvb62');
DeleteService('Winsx61');
DeleteService('Winns27');
DeleteService('Winlq51');
DeleteService('Winlq16');
DeleteService('Windi48');
DeleteService('Windi04');
DeleteService('Winch73');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\blphccppj0ee0a.scr','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8858369260-7055827323-458710993-8568\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8695588430-6371410176-983691548-8968\mwau.exe','');
QuarantineFile('C:\Documents and Settings\Павел\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\Documents and Settings\Павел\photo_id.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\05452925\05452925.exe','');
QuarantineFile('srv.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\05452925\05452925.exe');
DeleteFile('C:\Documents and Settings\Павел\photo_id.exe');
DeleteFile('C:\Documents and Settings\Павел\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8695588430-6371410176-983691548-8968\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','05452925');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\RECYCLER\S-1-5-21-4538992029-6416524024-942280994-7482\yv8g67.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\blphccppj0ee0a.scr');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
18.11.2009, 15:20
Denis79

Карантин отправил.
Новые логи приложил.
18.11.2009, 15:44
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('wscsvcERSvc');
StopService('WmiApSrvNVSvc');
StopService('Winvb62');
StopService('Winsx61');
StopService('Winns27');
StopService('Winlq51');
StopService('Winlq16');
StopService('Windi48');
StopService('Windi04');
StopService('Winch73');
StopService('SysmonLogRpcSs');
StopService('ProtectedStoragemnmsrvc');
StopService('MessengerShellHWDetection');
StopService('AlerterEventSystem');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch73.sys','');
DeleteService('wscsvcERSvc');
DeleteService('WmiApSrvNVSvc');
DeleteService('Winvb62');
DeleteService('Winsx61');
DeleteService('Winns27');
DeleteService('Winlq51');
DeleteService('Winlq16');
DeleteService('Windi48');
DeleteService('Windi04');
DeleteService('Winch73');
DeleteService('SysmonLogRpcSs');
DeleteService('ProtectedStoragemnmsrvc');
DeleteService('MessengerShellHWDetection');
DeleteService('AlerterEventSystem');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch73.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('wscsvcERSvc');
BC_DeleteSvc('WmiApSrvNVSvc');
BC_DeleteSvc('Winvb62');
BC_DeleteSvc('Winsx61');
BC_DeleteSvc('Winns27');
BC_DeleteSvc('Winlq51');
BC_DeleteSvc('Winlq16');
BC_DeleteSvc('Windi48');
BC_DeleteSvc('Windi04');
BC_DeleteSvc('Winch73');
BC_DeleteSvc('SysmonLogRpcSs');
BC_DeleteSvc('ProtectedStoragemnmsrvc');
BC_DeleteSvc('MessengerShellHWDetection');
BC_DeleteSvc('AlerterEventSystem');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

-[URL="http://virusinfo.info/upload_virus.php?tid=XXXXX"] Закачайте карантин [/URL] (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
18.11.2009, 15:57
Denis79

Карантин закачал
18.11.2009, 16:03
Rene-gad

[QUOTE=Rene-gad;511349]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.[/QUOTE]
:rtfm:
18.11.2009, 16:09
Denis79

Новые логи.
18.11.2009, 16:11
Rene-gad

- В логах ничего подозрительного. Жалобы есть?
- Установите [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/URL] - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
18.11.2009, 17:18
Denis79

Все в порядке.
Спасибо.
19.11.2009, 17:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\павел\главное меню\программы\автозагрузка\sysupd32.exe - [B]Trojan.Win32.Obfuscated.aism[/B] ( DrWEB: Trojan.DownLoad1.4576, BitDefender: Backdoor.Generic.232816 )[*] c:\recycler\s-1-5-21-8695588430-6371410176-983691548-8968\mwau.exe - [B]P2P-Worm.Win32.Palevo.kgl[/B] ( DrWEB: Trojan.Packed.688, AVAST4: Win32:Malware-gen )[/LIST][/LIST]