Не выключался и не перезагружался компьютер. После лечения Cure It нашел кучу троянов. Компьютер стал выключаться, но все равно вылезает собщение о Malicious Software и есть подозрение, что не все вылечилось.
Пожалуйста помогите.
Printable View
Не выключался и не перезагружался компьютер. После лечения Cure It нашел кучу троянов. Компьютер стал выключаться, но все равно вылезает собщение о Malicious Software и есть подозрение, что не все вылечилось.
Пожалуйста помогите.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O20 - AppInit_DLLs: karina.dat,C:\DOCUME~1\Kirill\LOCALS~1\Temp\3608468247mxx.dll[/CODE]
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyo37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyh74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winus50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintr04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintq52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqa50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlu06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhv41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingv02.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winax63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winai52.sys','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\Program Files\Opera\rasadhlp.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('karina.dat','');
QuarantineFile('C:\DOCUME~1\Kirill\LOCALS~1\Temp\3608468247mxx.dll','');
DeleteService('Winyo37');
DeleteService('Winyh74');
DeleteService('Winus50');
DeleteService('Wintr04');
DeleteService('Wintq52');
DeleteService('Winqa50');
DeleteService('Winlu06');
DeleteService('Winhv41');
DeleteService('Wingv02');
DeleteService('Wingg64');
DeleteService('Winax63');
DeleteService('Winai52');
DeleteFile('C:\DOCUME~1\Kirill\LOCALS~1\Temp\3608468247mxx.dll');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winax63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingv02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhv41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlu06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqa50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintq52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintr04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winus50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyo37.sys');
DeleteFile('karina.dat');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
DeleteFile('C:\Program Files\Opera\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Сделайте новые логи по правилам
Все сделал.
Malicious Software опять вылезает. Пишет backdoor:WinNT/Rustock.gen!D Removed. И так при каждой перезагрузке
Не забыли про меня?
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, выполните скрипт в [U]AVZ[/U]:[CODE]begin
BC_DeleteSvc('wuauservSSDPSRV');
BC_DeleteSvc('WmiApSrvAudioSrv');
BC_DeleteSvc('UPSWmi');
BC_DeleteSvc('TlntSvrSamSs');
BC_DeleteSvc('RpcLocatorImapiServiceERSvc');
BC_DeleteSvc('oseupnphost');
BC_DeleteSvc('oseAntiVirService');
BC_DeleteSvc('NetmanUPS');
BC_DeleteSvc('LmHostsSSDPSRV');
BC_DeleteSvc('ImapiServiceNetman');
BC_DeleteSvc('ImapiServiceERSvc');
BC_DeleteSvc('EventlogBrowser');
BC_DeleteSvc('DhcpNetman');
BC_DeleteSvc('cisvcRpcSs');
BC_DeleteSvc('AtiWZCSVC');
BC_DeleteSvc('AlerterDcomLaunch');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте новые логи по правилам - [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B]
Все сделал. Новые логи приложил.
Уведомление Malicious Software Removal Tool все равно выскакивает.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O23 - Service: Network Provisioning Service xmlprovSysmonLog (xmlprovSysmonLog) - Unknown owner - C:\WINDOWS\[/CODE]
На какой файл ругается?
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Пофиксил.
GMER лог долго-долго проверял весь диск С, а после окончания работы все зависло намертво.
Перезагрузился - сделал новый лог, не до конца, но больше он все равно ничего не находил.
Malicious Tool при загрузке говорит backdoor:WinNT/Rustock.gen!D Removed, но при следующей загрузке повторяется тоже самое.
Попробуйте просканировать систему AVPTool'ом
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\rasadhlp.dll - [B]Trojan-Downloader.Win32.Agent.coip[/B] ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )[*] c:\program files\opera\rasadhlp.dll - [B]Trojan-Downloader.Win32.Agent.coip[/B] ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]