Уважаемые, помогите плиез!
Free Malware Removal Service
Уважаемые, помогите плиез!
Last edited by Rene-gad; 09-07-2008 at 08:51 PM.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не закрыты все программы
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Code:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\system32\Drivers\Winjp41.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\DOCUME~1\ЭДИК\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winub63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winou85.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winou30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winio52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winho06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi40.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winjp41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('c:\windows\system32\buritos.exe',''); DeleteService('Winbi40'); DeleteService('Winel28'); DeleteService('Wingm16'); DeleteService('Winhn27'); DeleteService('Winho06'); DeleteService('Winio52'); DeleteService('Winjp74'); DeleteService('Winkq05'); DeleteService('Winkr41'); DeleteService('Winou30'); DeleteService('Winou85'); DeleteService('Winpv73'); DeleteService('Winsy51'); DeleteService('Winub63'); DeleteService('Winjp41'); DeleteService('WudfSvcNVSvc'); DeleteService('wuauservnTuneService'); DeleteService('WmdmPmSNUPS'); DeleteService('TrkWkssrservice'); DeleteService('srserviceSchedule'); DeleteService('PctspkPnkBstrA'); DeleteService('nSvcIpaspnet_stateclr_optimization_v2.0.50727_32'); DeleteService('NetlogonDhcp'); DeleteService('NetDDEdmadmin'); DeleteService('FLEXnetmnmsrvc'); DeleteService('dmadminETOKSRVSpooler'); DeleteService('dmadminETOKSRV'); DeleteService('CiSvcVSS'); DeleteService('BITSSSDPSRV'); DeleteService('aspnet_stateclr_optimization_v2.0.50727_32'); DeleteService('AppMgmtWudfSvc'); DeleteService('AppMgmtCryptSvc'); DeleteService('AlerterAudioSrv'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\Drivers\Winjp41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbi40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winel28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winho06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winio52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjp74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnt30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winou30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsy51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winub63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvc51.sys'); DeleteFile('C:\DOCUME~1\ЭДИК\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('c:\program files\bonjour\mdnsresponder.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winbi40'); BC_DeleteSvc('Winel28'); BC_DeleteSvc('Wingm16'); BC_DeleteSvc('Winhn27'); BC_DeleteSvc('Winho06'); BC_DeleteSvc('Winio52'); BC_DeleteSvc('Winjp74'); BC_DeleteSvc('Winkq05'); BC_DeleteSvc('Winkr41'); BC_DeleteSvc('Winou30'); BC_DeleteSvc('Winou85'); BC_DeleteSvc('Winpv73'); BC_DeleteSvc('Winsy51'); BC_DeleteSvc('Winub63'); BC_DeleteSvc('Winjp41'); BC_DeleteSvc('WudfSvcNVSvc'); BC_DeleteSvc('wuauservnTuneService'); BC_DeleteSvc('WmdmPmSNUPS'); BC_DeleteSvc('TrkWkssrservice'); BC_DeleteSvc('srserviceSchedule'); BC_DeleteSvc('PctspkPnkBstrA'); BC_DeleteSvc('nSvcIpaspnet_stateclr_optimization_v2.0.50727_32'); BC_DeleteSvc('NetlogonDhcp'); BC_DeleteSvc('NetDDEdmadmin'); BC_DeleteSvc('FLEXnetmnmsrvc'); BC_DeleteSvc('dmadminETOKSRVSpooler'); BC_DeleteSvc('dmadminETOKSRV'); BC_DeleteSvc('CiSvcVSS'); BC_DeleteSvc('BITSSSDPSRV'); BC_DeleteSvc('aspnet_stateclr_optimization_v2.0.50727_32'); BC_DeleteSvc('AppMgmtWudfSvc'); BC_DeleteSvc('AppMgmtCryptSvc'); BC_DeleteSvc('AlerterAudioSrv'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо за ответ. Постараюсь выполнять все правила, извините
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
не работает обновление (не горит обновить базы)
выполните скрипт ...
повторите логи ...Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('TrkWksstisvc'); BC_DeleteSvc('HTTPFilterTrkWks'); BC_DeleteSvc('FastUserSwitchingCompatibilityRDSessMgr'); DeleteFile('C:\DOCUME~1\ЭДИК\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Так скажите. Вот файл: http://z-oleg.com/secur/avz_up/avzbase.zip Распакуйте в папку ..avz\base\ , переписывание подтвердите.Originally Posted by ed26
Зачем же Вам дурную работу со старыми базами делать? Антивирус со старыми базами хуже , чем полное отсутствие антивируса.
зловредного ничего нет ...
спайбот можно деинсталировать как бесполезный
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\del_winctrl32 - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)
- \\del_2 - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
Уважаемый(ая) ed26, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Posting Permissions
