помогите прибить эту штуку C:\WINDOWS.0\system32\Drivers\Winpu16.sys + HijackThis показывает интересную штуку которую у меня тоже не получаеться прибить C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
Winpu16.sys
помогите прибить эту штуку C:\WINDOWS.0\system32\Drivers\Winpu16.sys + HijackThis показывает интересную штуку которую у меня тоже не получаеться прибить C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys',''); QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll',''); DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportAll; BC_DeleteSvc('Winpu16'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=27405
3. Повторите логи.
готово, каждая перезагрузка с этими вирусами это мучение, а выход в интернет с этого компьютера это триллер.
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS.0\system32\WinCtrl32.dll C:\WINDOWS.0\system32\Drivers\Winpu16.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('qandr'); DeleteService('Mta52'); DeleteService('Winpu16'); DeleteService('WebClientEhttpSrv'); DeleteService('W32TimeFastUserSwitchingCompatibility'); DeleteService('TrkWksNetlogon'); DeleteService('TlntSvrERSvc'); DeleteService('SysmonLogRemoteRegistry'); DeleteService('StarWindServiceAEPolicyAgent'); DeleteService('SpoolerNtmsSvclanmanworkstation'); DeleteService('SharedAccessSENS'); DeleteService('SharedAccessRasMan'); DeleteService('RpcLocatorNOD32krn'); DeleteService('RDSessMgrMessenger'); DeleteService('RasManSchedule'); DeleteService('NtmsSvclanmanworkstationEventSystemCiSvc'); DeleteService('NtmsSvclanmanworkstation'); DeleteService('NOD32krnNetman'); DeleteService('NlaCOMSysApp'); DeleteService('NetlogonAudioSrv'); DeleteService('NetDDEFastUserSwitchingCompatibility'); DeleteService('MSDTCupnphost'); DeleteService('ImapiServiceekrn'); DeleteService('HTTPFilterBrowserTermService'); DeleteService('HTTPFilterBrowser'); DeleteService('HidServRasMan'); DeleteService('EventSystemCiSvc'); DeleteService('Eventlogsrservice'); DeleteService('DcomLaunchRpcLocator'); DeleteService('BITSTrkWksNetlogon'); DeleteService('Alerterdmserver'); DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS.0\system32\Drivers\Winpu16.sys'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Mta52.sys'); DeleteFile('C:\WINDOWS.0\system32\drivers\qandr.sys'); DeleteFile('WinCtrl32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вроде всё чисто, спасибо.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O9 - Extra button: (no name) - AutorunsDisabled - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\
Повторите логи м п.10 правил...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winpu16'); DeleteService('MSIServerRasMan'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winpu16'); BC_DeleteSvc('MSIServerRasMan'); BC_Activate; RebootWindows(true); end.
немогу вложить. пишет
Набранное вами сообщение слишком короткое. Увеличьте ваше сообщение до 1 символов.
Так и напишите что-нибудь в тексте сообщения. Типа "Вот логи".
так не получаеться ) я бы не писал. с момента как сайт падал, это где то 2,3 числа, неполучаеться ничего запостить с кнопки "ответить" только быстрым ответом.
А через "Расширенный режим"?
во!, вот теперь заработало. вообщем спасибо всем кто помогал. тему можно закрыть
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows.0\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ath (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) kokon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
