Заставка на рабочем толе + заблоченные вкладки у свойств экрана..
Ума не приложу откуда взял.
Заставка на рабочем толе + заблоченные вкладки у свойств экрана..
Ума не приложу откуда взял.
На время выполнения скрипта отключите интернет и антивирус.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WIN_REZ\System32\drivers\Wintq61.sys',''); QuarantineFile('C:\WIN_REZ\system32\WinCtrl32.dll',''); DeleteFile('C:\WIN_REZ\system32\WinCtrl32.dll'); DeleteFile('C:\WIN_REZ\System32\drivers\Wintq61.sys'); DeleteFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr'); DeleteFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP112\A0023959.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winth71'); BC_DeleteSvc('Winaj15'); BC_DeleteSvc('WZCSVCSpooler'); BC_DeleteSvc('WZCSVCdmserverProtectedStorage'); BC_DeleteSvc('WZCSVCdmserverHTTPFilter'); BC_DeleteSvc('WZCSVCdmserver'); BC_DeleteSvc('wuauservNetmanHTTPFilter'); BC_DeleteSvc('wuauservNetmanFastUserSwitchingCompatibility'); BC_DeleteSvc('wuauservNetmanEventlogClipSrvDhcpProtectedStorage'); BC_DeleteSvc( 'wuauservNetmanEventlogClipSrvDhcpAudioSrvERSvcmnmsrvcEventlogClipSrvProtectedStorage'); BC_DeleteSvc( 'wuauservNetmanEventlogClipSrvDhcpAudioSrv'); BC_DeleteSvc('wuauservNetmanEventlogClipSrvDhcp'); BC_DeleteSvc('wuauservNetmanEventlogClipSrv'); BC_DeleteSvc('wuauservNetman'); BC_DeleteSvc('wuauservEventlog'); BC_DeleteSvc( 'wscsvcRpcSsCryptSvcSysmonLogRpcLocator'); BC_DeleteSvc('wscsvcRpcSsCryptSvc'); BC_DeleteSvc('wscsvcRpcSsCOMSysApp'); BC_DeleteSvc('wscsvcRpcSs'); BC_DeleteSvc('wscsvcNetDDE'); BC_DeleteSvc('WmiApSrvhelpsvc'); BC_DeleteSvc( 'WebClientWmiSamSsNetDDEMSIServeraspnet_state'); BC_DeleteSvc('WebClientWmiSamSs'); BC_DeleteSvc('WebClientWmi'); BC_DeleteSvc('WebClientProtectedStorage'); BC_DeleteSvc('VSSdmadminRasMan'); BC_DeleteSvc('upnphostRpcSs'); BC_DeleteSvc('TlntSvr Smart'); BC_DeleteSvc( 'SysmonLogRpcLocatorRemoteAccessNetDDEdsdmPolicyAgent'); BC_DeleteSvc('SysmonLogRpcLocator'); BC_DeleteSvc('SSDPSRVseclogonxmlprov'); BC_DeleteSvc('srserviceNetDDEdsdmPolicyAgent'); BC_DeleteSvc( 'SENSEventlogClipSrvERSvcmnmsrvcEventlogClipSrvRSVPRasMan'); BC_DeleteSvc('SENSEventlogClipSrv'); BC_DeleteSvc('seclogonxmlprov'); BC_DeleteSvc( 'seclogonRasManCOMSysAppATISSDPSRVWmi'); BC_DeleteSvc('seclogonRasManCOMSysApp'); BC_DeleteSvc('ScheduleDcomLaunch'); BC_DeleteSvc( 'SCardSvrWebClientWmiSamSsNetDDEMSIServeraspnet_state'); BC_DeleteSvc( 'RSVPRemoteAccessNetDDEdsdmPolicyAgent'); BC_DeleteSvc('RSVPRasMan'); BC_DeleteSvc('RSVPCOMSysAppShellHWDetection'); BC_DeleteSvc('RSVPCOMSysApp'); BC_DeleteSvc('RpcSsSENS'); BC_DeleteSvc('RemoteAccessSSDPSRV'); BC_DeleteSvc('RemoteAccessRasAuto'); BC_DeleteSvc('RemoteAccessNetDDEdsdmPolicyAgent'); BC_DeleteSvc('RasManCOMSysApp'); BC_DeleteSvc('RasManAlerterHidServ'); BC_DeleteSvc('ProtectedStorageAlerterSSDPSRV'); BC_DeleteSvc('ProtectedStorage Smart'); BC_DeleteSvc('PolicyAgentShellHWDetection'); BC_DeleteSvc('NetDDERSVPRasMan'); BC_DeleteSvc('NetDDEMSIServeraspnet_state'); BC_DeleteSvc('NetDDEdsdmPolicyAgentHTTPFilter'); BC_DeleteSvc('NetDDEdsdmPolicyAgent'); BC_DeleteSvc('MSIServeraspnet_stateRSVPRasMan'); BC_DeleteSvc('MSIServeraspnet_state'); BC_DeleteSvc('mnmsrvcEventlogClipSrv'); BC_DeleteSvc( 'EventlogClipSrvwuauservNetmanEventlogClipSrvDhcpAudioSrvERSvcmnmsrvcEventlogClipSrvProtectedStorage'); BC_DeleteSvc('EventlogClipSrv'); BC_DeleteSvc('ERSvcW32Time'); BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvRSVPRasMan'); BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSwscsvcNetDDE'); BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPS'); BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorage'); BC_DeleteSvc('ERSvcmnmsrvcEventlogClipSrv'); BC_DeleteSvc('ERSvcATISSDPSRVWmiERSvc'); BC_DeleteSvc('ERSvc HotKey Poller'); BC_DeleteSvc('dmadminWmi'); BC_DeleteSvc('dmadminRasManShellHWDetection'); BC_DeleteSvc('dmadminRasMan'); BC_DeleteSvc('dmadminDhcp'); BC_DeleteSvc('DcomLaunchstisvcSamSsTermService'); BC_DeleteSvc('DcomLaunchstisvcSamSs'); BC_DeleteSvc( 'DcomLaunchstisvcNetDDEdsdmPolicyAgent'); BC_DeleteSvc('DcomLaunchstisvcAudioSrv'); BC_DeleteSvc('DcomLaunchstisvc'); BC_DeleteSvc('COMSysAppAlerter'); BC_DeleteSvc('clr_optimization_v2.0.50727_32VSS'); BC_DeleteSvc('AudioSrvLmHosts'); BC_DeleteSvc('ATISSDPSRVWmiERSvc'); BC_DeleteSvc('ATISSDPSRVWmi'); BC_DeleteSvc('ATISSDPSRV'); BC_DeleteSvc('AtiRasManAlerterHidServ'); BC_DeleteSvc( 'ATIAlerterHidServFastUserSwitchingCompatibility'); BC_DeleteSvc('AlerterSSDPSRV'); BC_DeleteSvc( 'AlerterHidServFastUserSwitchingCompatibility'); BC_DeleteSvc('AlerterHidServ'); BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29098).
Сделайте новые логи.
I am not young enough to know everything...
Выполнил, прислал, выложил.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WIN_REZ\system32\WinCtrl32.dll C:\WIN_REZ\system32\WinCtrl32.bak C:\WIN_REZ\system32\WinCtrl32.dl_ C:\WIN_REZ\system32\Drivers\Wintq61.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('WmdmPmSNWZCSVC'); DeleteService('ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSBrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent'); DeleteService('BrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent'); QuarantineFile('C:\WIN_REZ\system32\Drivers\Wintq61.sys',''); QuarantineFile('C:\WIN_REZ\system32\WinCtrl32.dll',''); QuarantineFile('C:\WIN_REZ\system32\lphc3rmj0ee2v.exe',''); QuarantineFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr',''); DeleteFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr'); DeleteFile('C:\WIN_REZ\system32\lphc3rmj0ee2v.exe'); DeleteFile('C:\WIN_REZ\system32\WinCtrl32.dll'); DeleteFile('C:\WIN_REZ\system32\Drivers\Wintq61.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WmdmPmSNWZCSVC'); BC_DeleteSvc('ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSBrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent'); BC_DeleteSvc('BrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
баковский файл не нашел
остальное готово.
систему почистил СиКлинером
Посмотрите, есть ли у Вас файл
Если найдете - пришлите по правилам (приложение 3), потом удалите его.Код:C:\WIN_REZ\system32\WinDat.cab
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP98\A0022536.exe',''); DeleteFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP98\A0022536.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
C:\WIN_REZ\system32\WinDat.cab - не нашел
В логах чисто. Какие еще проблемы есть?
заблокированые вкладки в настройках рабочего стола, и скрин с "варнингом" сидит под обоями крепко
- Выполните скрипт
После перезагрузки проинформируйте о состоянии ПК.Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RebootWindows(true); end.
вкладки вернулись на место
при загрузке винды, мельком выскакивает этот варнинг, и тут же пропадает под обоями.
в остальном всё супер
Попробуйте почистить реестр CCleaner.
Еще есть одна дурная тулза, которая по именам ищет: Malwaerbytes Antimalware. Попробуйте еще ею просканить.
вроде всё
большое спасибо за помощь
сначала просто Сиклинером по рееестру прошелся, чего то он там удалил - скрин пропал
сейчас прошелся ещё малаваром, лог прикрепляю.
Файлы:
Пришлите по правилам, плизКод:C:\WIN_REZ\system32\phc3rmj0ee2v.bmp C:\WIN_REZ\Temp\.tt3.tmp C:\WIN_REZ\Temp\.tt4.tmp C:\WIN_REZ\Temp\.tt5.tmp C:\WIN_REZ\Temp\.tt6.tmp C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt2.tmp C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt3.tmp C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt4.tmp C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt6.tmp
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\win_rez\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.azm (DrWEB: Trojan.DownLoad.3503)
- c:\\win_rez\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azm (DrWEB: Trojan.DownLoad.3503)
Уважаемый(ая) Константин Д., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.