В последнее при входе в интернет выходят сообщения санитара диска, маскируются под системные сообщения при попытках закрыть их переходит на ссылки для скачивания этой пограммы.
В последнее при входе в интернет выходят сообщения санитара диска, маскируются под системные сообщения при попытках закрыть их переходит на ссылки для скачивания этой пограммы.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\WLCtrl32.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\romdrivers.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj82.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rwA60.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hmp36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lqt71.sys',''); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Lqt71.sys',''); QuarantineFile('C:\WINDOWS\system32\card.dll',''); DeleteFile('C:\WINDOWS\system32\card.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Lqt71.sys'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Lqt71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hmp36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rwA60.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfj82.sys'); DeleteFile('C:\Program Files\Internet Explorer\romdrivers.dll'); DeleteFile('C:\WINDOWS\System32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll'); DelBHO('{881B007C-C29A-4700-A97D-651643EECB49}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Lqt71'); BC_DeleteSvc('Hmp36'); BC_DeleteSvc('rwA60'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Winfj82'); BC_DeleteSvc('msupdate'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24668).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Карантин выслал, логи вот:
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [RUNDLL32] rundl32.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('rundl32.exe',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
I am not young enough to know everything...
Всё сделал, всё выслал. Большое спасибо, от санитара пока вестей нету и надеюсь небудет если чо ещё напишу
присланный карантин пустой ... rundl32.exe - пришлите согласно приложения 2 правил ...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 117
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0114191.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0114198.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0115198.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0115212.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0116212.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0116223.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0116234.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0117233.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp187\\a0117275.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp188\\a0117331.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp188\\a0117347.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp189\\a0117418.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp189\\a0118418.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp189\\a0118426.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{6abefaba-7808-41dd-b860-e00f23fd39ea}\\rp190\\a0118462.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\windows\\svchost.exe - Trojan.Win32.Inject.bas (DrWEB: Trojan.DownLoader.3750
- c:\\windows\\system32\\card.dll - Rootkit.Win32.Podnuha.dl (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\drivers\\hmp36.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\drivers\\rwa60.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\winfj82.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\..\\svchost.exe - Trojan.Win32.Inject.bas (DrWEB: Trojan.DownLoader.3750
- c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
Уважаемый(ая) Izlom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.