Заранее спасибо.
Заранее спасибо.
Пофиксите с помощью hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:HKLM\..\Run: [runservices] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [advap32] "c:\npdylf.exe" /r O4 - HKLM\..\Run: [lphctcdj0eev2] C:\WINDOWS\system32\lphctcdj0eev2.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dllСистема будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=25174 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\services.exe'); TerminateProcessByName('c:\windows\system32\lphctcdj0eev2.exe'); QuarantineFile('C:\Documents and Settings\Georg\Local Settings\Temp\31668.tmp',''); QuarantineFile('c:\npdylf.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxg85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwf52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winip17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winho28.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\lphctcdj0eev2.exe',''); QuarantineFile('C:\WINDOWS\system32\blphctcdj0eev2.scr',''); QuarantineFile('c:\program files\apbackup\srvany.exe',''); QuarantineFile('c:\windows\services.exe',''); QuarantineFile('c:\windows\system32\lphctcdj0eev2.exe',''); DeleteFile('C:\Documents and Settings\Georg\Local Settings\Temp\31668.tmp'); DeleteFile('c:\windows\system32\lphctcdj0eev2.exe'); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\blphctcdj0eev2.scr'); DeleteFile('C:\WINDOWS\system32\lphctcdj0eev2.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winho28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winip17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwf52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxg85.sys'); DeleteFile('c:\npdylf.exe'); BC_DeleteSvc('Winho28'); BC_DeleteSvc('Winip17'); BC_DeleteSvc('Winkr85'); BC_DeleteSvc('Winwe52'); BC_DeleteSvc('Winwf52'); BC_DeleteSvc('Winxg85'); BC_Importall; BC_Activate; ExecuteSysClean; executerepair(5); executerepair(6); executerepair(8); RebootWindows(true); end.
Всё сделал.
скачайте C:\WINDOWS\System32\Drivers\Winxe85.sys , C:\WINDOWS\System32\Drivers\Winpv74.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winpv74'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winxe85.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Winxe85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv74.sys'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Извините за дурость а зачем качать ?
Качать - потому что IceSword может увидеть и удалить те файлы, которые стандартными средствами вам сейчас обнаружить не удасться. Подробную инструкцию смотрите здесь
С:\WINDOWS\system32\Drivers\Winxe85.sys
С:\WINDOWS\System32\Drivers\Winpv74.sys
Файлы не нашёл но скрипт выполнил и собрал логи.
И что дальше делать ? Есть у меня вирусы?
пофиксите ...
больше ничего подозрительного ...Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\npdylf.exe - Trojan-Downloader.Win32.Mutant.ahn (DrWEB: Trojan.Rntm.6)
- c:\\windows\\services.exe - Trojan.Win32.Agent.saz (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\lphctcdj0eev2.exe - Trojan.Win32.Pakes.dfn (DrWEB: Trojan.Packed.512)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ahp (DrWEB: Trojan.DownLoader.63553)
Уважаемый(ая) rusenemy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.