Здравствуйте
Проблема аналогична
Пожалуйста помогите
Здравствуйте
Проблема аналогична
Пожалуйста помогите
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\Drivers\Winip17.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус, Ad-Aware и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winip17'); DeleteService('AudioSrvEventSystem'); DeleteService('Bonjour Service'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winip17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winip17.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\MTiCtwl.sys',''); DeleteFile('c:\program files\bonjour\mdnsresponder.exe'); DeleteFile('C:\WINDOWS\system32\lphctaaj0e107.exe'); DeleteFile('C:\WINDOWS\system32\blphctaaj0e107.scr'); DeleteFile('C:\WINDOWS\System32\Drivers\Winip17.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winip17'); BC_DeleteSvc('AudioSrvEventSystem'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Простите, я не понял, если я нашел 3 файла из 4 мне переходить сразу к следующему шагу не добавляя эти 3 в карантин?
Читаем вместе и вслух:
3 файла - в карантин, потом эти же 3 файла - удалить, потом переходить...Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Не могу добавить в карантин, пишет
Ошибка карантина файла, попытка прямого чтения (1)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\1)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\1)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (2)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\2)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\2)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (3)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\3)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\3)
Карантин с использованием прямого чтения - ошибка
я так обозвал когда копировал winctrl32dll, winctrl32dl_ и winip17
Я уже добавил. У меня после запуска ie, Norton internet security пишет об ошибке и закрывается. Выполнил скрипт, но пока только фон рабочего стола поменялся с белого на синий
Все выполнил, карантин отправил
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Данил\Local Settings\Temp\loader.exe',''); BC_DeleteSvc('winmgmtLmHosts'); BC_DeleteSvc('WebClientccISPwdSvc'); BC_DeleteSvc('SCardSvrstisvc'); BC_DeleteSvc('NetlogonRemoteAccess'); BC_DeleteSvc('dmserverNetlogonRemoteAccess'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\Documents and Settings\Данил\Local Settings\Temp\loader.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Скрипт выполнил, видимые неполадки исчезли. Карантин выслал
пофиксите ...
больше ничего плохого ...Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Все работает. СПАСИБО ВАМ!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\данил\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.acmn (DrWEB: Trojan.DownLoad.2077)
- c:\\documents and settings\\данил\\рабочий стол\\новая папка (5)\\1. - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\documents and settings\\данил\\рабочий стол\\новая папка (5)\\2. - Trojan-Downloader.Win32.Mutant.ayw (DrWEB: Trojan.Packed.573)
- c:\\documents and settings\\данил\\рабочий стол\\новая папка (5)\\3. - Trojan-Downloader.Win32.Mutant.ayw (DrWEB: Trojan.Packed.573)
Уважаемый(ая) asdf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.