вирус startdrv.exe NOD32 определяет его как win32/trojanDownloaderAgent.NTU. Помогите удалить!Логи прилагаю.
вирус startdrv.exe NOD32 определяет его как win32/trojanDownloaderAgent.NTU. Помогите удалить!Логи прилагаю.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing) O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Lqv15'); SetServiceStart('Lqv15', 4); QuarantineFile('C:\WINDOWS\system32\poof',''); QuarantineFile('C:\WINDOWS\system32\kprof',''); QuarantineFile('C:\WINDOWS\system32\koos.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb04.sys',''); QuarantineFile('c:\huadio.tmp',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv15.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\Temp\BN6.tmp',''); DeleteFile('C:\Temp\BN6.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Lqv15.sys'); DeleteFile('c:\huadio.tmp'); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb04.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\koos.exe'); DeleteFile('C:\WINDOWS\system32\kprof'); DeleteFile('C:\WINDOWS\system32\poof'); BC_ImportDeletedList; DeleteService('Lqv15'); DeleteService('ctl_w32'); DeleteService('kprof'); DeleteService('poof'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21013).
Сделайте новые логи.
I am not young enough to know everything...
Большое спасибо, кажется помогло. Карантин загрузил. Новые логи прикладываю.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('poof'); DeleteService('ctl_w32'); DeleteService('kprof'); DeleteFile('C:\WINDOWS\system32\kprof'); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\system32\poof'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('poof '); BC_DeleteSvc('ctl_w32 '); BC_DeleteSvc('kprof '); BC_Activate; RebootWindows(true); end.
Судя по логам, действительно помогло
Наверно после скрипта еще придется пофиксить в HijackThis:
Логи можно сделать начиная с п.10 правил.Код:O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\bn6.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.hx (DrWEB: Trojan.DownLoader.56882)
Уважаемый(ая) sergey2008, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.