Показано с 1 по 12 из 12.

Winpu16.sys (заявка № 27405)

  1. #1
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Winpu16.sys

    помогите прибить эту штуку C:\WINDOWS.0\system32\Drivers\Winpu16.sys + HijackThis показывает интересную штуку которую у меня тоже не получаеться прибить C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys','');
     QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
     DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys');
     DelWinlogonNotifyByKeyName('WinCtrl32');
     BC_ImportAll;
     BC_DeleteSvc('Winpu16');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=27405

    3. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    готово, каждая перезагрузка с этими вирусами это мучение, а выход в интернет с этого компьютера это триллер.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Отключите антивирус и интернет!

    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS.0\system32\WinCtrl32.dll
    C:\WINDOWS.0\system32\Drivers\Winpu16.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('qandr');
     DeleteService('Mta52');
     DeleteService('Winpu16');
     DeleteService('WebClientEhttpSrv');
     DeleteService('W32TimeFastUserSwitchingCompatibility');
     DeleteService('TrkWksNetlogon');
     DeleteService('TlntSvrERSvc');
     DeleteService('SysmonLogRemoteRegistry');
     DeleteService('StarWindServiceAEPolicyAgent');
     DeleteService('SpoolerNtmsSvclanmanworkstation');
     DeleteService('SharedAccessSENS');
     DeleteService('SharedAccessRasMan');
     DeleteService('RpcLocatorNOD32krn');
     DeleteService('RDSessMgrMessenger');
     DeleteService('RasManSchedule');
     DeleteService('NtmsSvclanmanworkstationEventSystemCiSvc');
     DeleteService('NtmsSvclanmanworkstation');
     DeleteService('NOD32krnNetman');
     DeleteService('NlaCOMSysApp');
     DeleteService('NetlogonAudioSrv');
     DeleteService('NetDDEFastUserSwitchingCompatibility');
     DeleteService('MSDTCupnphost');
     DeleteService('ImapiServiceekrn');
     DeleteService('HTTPFilterBrowserTermService');
     DeleteService('HTTPFilterBrowser');
     DeleteService('HidServRasMan');
     DeleteService('EventSystemCiSvc');
     DeleteService('Eventlogsrservice');
     DeleteService('DcomLaunchRpcLocator');
     DeleteService('BITSTrkWksNetlogon');
     DeleteService('Alerterdmserver');
     DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS.0\system32\Drivers\Winpu16.sys');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Mta52.sys');
     DeleteFile('C:\WINDOWS.0\system32\drivers\qandr.sys');
     DeleteFile('WinCtrl32.dll');
     DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    вроде всё чисто, спасибо.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пофиксить

    Код:
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winpu16');
     DeleteService('MSIServerRasMan');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu16.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Winpu16');
    BC_DeleteSvc('MSIServerRasMan');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи м п.10 правил...

  8. #7
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    немогу вложить. пишет
    Набранное вами сообщение слишком короткое. Увеличьте ваше сообщение до 1 символов.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Так и напишите что-нибудь в тексте сообщения. Типа "Вот логи".

  10. #9
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    так не получаеться ) я бы не писал. с момента как сайт падал, это где то 2,3 числа, неполучаеться ничего запостить с кнопки "ответить" только быстрым ответом.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А через "Расширенный режим"?

  12. #11
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    во!, вот теперь заработало. вообщем спасибо всем кто помогал. тему можно закрыть

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows.0\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ath (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) kokon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01568 seconds with 16 queries