-
Junior Member
- Вес репутации
- 58
Началось с Mutant.aim
Последние сутки в компьютере сбои.Началось с появления сообщения в рамке при включении:Generic Host Process for Win.32 Services -обнаружена ошибка... и дальше Касперский отправлял подряд нескколько сообщений и компьютер сразу выключался на перезегрузку, после которой сразу показывал увеличение числа вирусов(TR.Mutant).Отключили от сети и лечили:Касперским, программой AD-Aware,AVIRA.Почти безуспешно. Вчера нашла Ваш сайт, скачала AVZ.Вроде бы стало намного лучше. Причем все антивирусные программы нашли разные вирусы( Mutant, Agent,Tr.Dropper, и еще целую кучу.) День работалось нормально, а сегодня опять выскочила рамка с тем же сообщением, Касперский не хочет работать, компьютер не хочет перезагружаться. Поиск вирусов показал "Троянских коней", TR/Dropper и файлы, "похожие" на Mutant. Помогите, работать невозможно- сплошные проверки. Я как говорят, почти чайник.Пробую отправить вложения
Последний раз редактировалось most; 19.08.2008 в 14:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и удалите через опцию force delete файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winjp30.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wmiwuauserv');
DeleteService('WmiNtmsSvc');
DeleteService('TapiSrvRemoteAccess');
DeleteService('ShellHWDetectionNtLmSsp');
DeleteService('ShellHWDetectionALG');
DeleteService('SharedAccessServiceLayergusvc');
DeleteService('SharedAccessEventSystem');
DeleteService('SharedAccessAlerter');
DeleteService('sfrem02 Mobile Device');
DeleteService('ServiceLayergusvcServiceLayer');
DeleteService('ServiceLayergusvc');
DeleteService('RSVP Mobile Device');
DeleteService('RpcSsCryptSvcALG');
DeleteService('RpcSsCryptSvc');
DeleteService('RpcSsCOMSysApp');
DeleteService('NtmsSvcdmadmin');
DeleteService('NtmsSvcAppMgmt');
DeleteService('Nlastisvc');
DeleteService('NetDDEdsdmupnphost');
DeleteService('MSDTC Mobile Device');
DeleteService('mnmsrvcVSS');
DeleteService('mnmsrvc Service');
DeleteService('LVPrcSrvWmiRDSessMgr');
DeleteService('LVPrcSrvWmiBITS');
DeleteService('LVPrcSrvWmi');
DeleteService('LVCOMSerSpoolerTapiSrvRemoteAccess');
DeleteService('LVCOMSerSpooler Service');
DeleteService('LVCOMSerSpooler');
DeleteService('LVCOMSerLmHosts');
DeleteService('iPodRpcSsCryptSvc');
DeleteService('ImapiServiceNetman');
DeleteService('FastUserSwitchingCompatibilityBrowser');
DeleteService('AutodeskLmHosts');
DeleteService('AutodeskCiSvcEventSystem');
DeleteService('AutodeskCiSvc');
DeleteService('AudioSrvSCardSvr');
DeleteService('Winio17');
DeleteService('Winip06');
DeleteService('Winjp41');
DeleteService('Winms17');
DeleteService('Winou41');
DeleteService('Winta06');
DeleteService('Wintb62');
DeleteService('Winwd51');
DeleteService('Winio06');
DeleteService('Winhn74');
DeleteService('Winhn17');
DeleteService('Winhn06');
DeleteService('Winfl41');
DeleteService('Winek63');
DeleteService('Winek30');
DeleteService('Windj28');
DeleteService('Wincj28');
DeleteService('Winbh41');
DeleteService('Winbh28');
DeleteService('Winbh17');
DeleteService('Winah85');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winjp30.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winah85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winio17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winip06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winms17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd51.sys','');
QuarantineFile('G:\\setup.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah85.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winjp30.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Спасибо огромное за помощь.
Вроде бы сделали, как положено. Посылаем новые логи. Появилась скромная надежда на спасение компьютера от злющих вирусов.
Последний раз редактировалось most; 19.08.2008 в 14:09.
-
Почему карантин не загрузили по правилам?
Вы об этом файле можете нам что-нибудь рассказать?
IceSword , поищите и удалите через опцию force delete файлы:
Код:
C:\WINDOWS\System32\Drivers\Winjp30.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AudioSrvSCardSvr');
DeleteService('AutodeskCiSvc');
DeleteService('AutodeskCiSvcEventSystem');
DeleteService('AutodeskLmHosts');
DeleteService('FastUserSwitchingCompatibilityBrowser');
DeleteService('helpsvcWmiApSrv');
DeleteService('ImapiServiceNetman');
DeleteService('iPodRpcSsCryptSvc');
DeleteService('LVCOMSerLmHosts');
DeleteService('LVCOMSerSpooler');
DeleteService('LVCOMSerSpooler Service');
DeleteService('LVCOMSerSpoolerTapiSrvRemoteAccess');
DeleteService('LVPrcSrvWmi');
DeleteService('LVPrcSrvWmiBITS');
DeleteService('LVPrcSrvWmiRDSessMgr');
DeleteService('mnmsrvc Service');
DeleteService('mnmsrvciPodRpcSsCryptSvc');
DeleteService('mnmsrvcVSS');
DeleteService('MSDTC Mobile Device');
DeleteService('NetDDEdsdmupnphost');
DeleteService('Nlastisvc');
DeleteService('NtmsSvcAppMgmt');
DeleteService('NtmsSvcdmadmin');
DeleteService('RpcSsCOMSysApp');
DeleteService('RpcSsCryptSvc');
DeleteService('RpcSsCryptSvcALG');
DeleteService('RSVP Mobile Device');
DeleteService('ServiceLayergusvc');
DeleteService('ServiceLayergusvcServiceLayer');
DeleteService('sfrem02 Mobile Device');
DeleteService('SharedAccessAlerter');
DeleteService('SharedAccessEventSystem');
DeleteService('SharedAccessServiceLayergusvc');
DeleteService('ShellHWDetectionALG');
DeleteService('ShellHWDetectionNtLmSsp');
DeleteService('TapiSrvRemoteAccess');
DeleteService('WmiNtmsSvc');
DeleteService('Wmiwuauserv');
DeleteService('Winwd51');
DeleteService('Winjp30');
DeleteService('wscsvcDnscache');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp30.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd51.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
простите, не все получается
G:\\setup.exe - не могу ничего сказать про этот код. На один из неглавных дисков записывали программу ABOBE FOTOCHОP, пару недель тому назад.
Карантин попробую послать, если еще нужен для диагностики. Простите великодушно и спасибо за поддержку.
-
Сообщение от
most
Карантин попробую послать, если еще нужен для диагностики.
А еще - выполните скрипт и повторите логи по правилам, плиз
-
-
Junior Member
- Вес репутации
- 58
не получается найти..
По полученному пошаговому лечению не могу выполнить два первых пункта: найти файл ......drivers\Winjp30.sys и "пофиксить "
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Подскажите, пожалуйста, что надо вставить в диалоговое окно.
Спасибо.
-
Сообщение от
most
По полученному пошаговому лечению не могу выполнить два первых пункта: найти файл ......drivers\Winjp30.sys
Вы IseSword скачали и запустили? Может его и нет. Переходите к следующему пункту.
Нажмите, плиз на ссылку в слове Пофиксить, там все написано
-
-
Junior Member
- Вес репутации
- 58
Ну дык на нее и смотрим, наверное, мы тупые.. Попробуем еще..
-
Сообщение от
most
Ну дык на нее и смотрим, наверное, мы тупые.. Попробуем еще..
Если Вы запустили Хайджек и не нашли эту запись - переходите к следующему шагу, а
вставить в диалоговое окно.
в Хайджеке нечего - нет там такого.
-
-
Junior Member
- Вес репутации
- 58
Посмотрите, пожалуйста новые логи и карантин.
А то, что Касперский не работает, это нормально?
Последний раз редактировалось most; 19.08.2008 в 14:09.
-
IceSword , поищите и удалите через опцию force delete файлы:
Код:
C:\WINDOWS\System32\Drivers\Winwd51.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winwd51');
DeleteService('wscsvcDnscache');
DeleteService('Wmiwuauserv');
DeleteService('WmiNtmsSvc');
DeleteService('TapiSrvRemoteAccess');
DeleteService('ShellHWDetectionNtLmSsp');
DeleteService('ShellHWDetectionALG');
DeleteService('SharedAccessServiceLayergusvc');
DeleteService('SharedAccessEventSystem');
DeleteService('SharedAccessAlerter');
DeleteService('sfrem02 Mobile Device');
DeleteService('ServiceLayergusvcServiceLayer');
DeleteService('ServiceLayergusvc');
DeleteService('RSVP Mobile Device');
DeleteService('RpcSsCryptSvcALG');
DeleteService('RpcSsCryptSvc');
DeleteService('RpcSsCOMSysApp');
DeleteService('NtmsSvcdmadmin');
DeleteService('NtmsSvcAppMgmt');
DeleteService('Nlastisvc');
DeleteService('NetDDEdsdmupnphost');
DeleteService('MSDTC Mobile Device');
DeleteService('mnmsrvcVSS');
DeleteService('mnmsrvciPodRpcSsCryptSvc');
DeleteService('mnmsrvc Service');
DeleteService('LVPrcSrvWmiRDSessMgr');
DeleteService('LVPrcSrvWmiBITS');
DeleteService('LVPrcSrvWmi');
DeleteService('LVCOMSerSpoolerTapiSrvRemoteAccess');
DeleteService('LVCOMSerSpooler Service');
DeleteService('LVCOMSerSpooler');
DeleteService('LVCOMSerLmHosts');
DeleteService('iPodRpcSsCryptSvc');
DeleteService('ImapiServiceNetman');
DeleteService('helpsvcWmiApSrv');
DeleteService('FastUserSwitchingCompatibilityBrowser');
DeleteService('AutodeskLmHosts');
DeleteService('AutodeskCiSvcEventSystem');
DeleteService('AutodeskCiSvc');
DeleteService('AudioSrvSCardSvr');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd51.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd51.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winwd51');
BC_DeleteSvc('wscsvcDnscache');
BC_DeleteSvc('Wmiwuauserv');
BC_DeleteSvc('WmiNtmsSvc');
BC_DeleteSvc('TapiSrvRemoteAccess');
BC_DeleteSvc('ShellHWDetectionNtLmSsp');
BC_DeleteSvc('ShellHWDetectionALG');
BC_DeleteSvc('SharedAccessServiceLayergusvc');
BC_DeleteSvc('SharedAccessEventSystem');
BC_DeleteSvc('SharedAccessAlerter');
BC_DeleteSvc('sfrem02 Mobile Device');
BC_DeleteSvc('ServiceLayergusvcServiceLayer');
BC_DeleteSvc('ServiceLayergusvc');
BC_DeleteSvc('RSVP Mobile Device');
BC_DeleteSvc('RpcSsCryptSvcALG');
BC_DeleteSvc('RpcSsCryptSvc');
BC_DeleteSvc('RpcSsCOMSysApp');
BC_DeleteSvc('NtmsSvcdmadmin');
BC_DeleteSvc('NtmsSvcAppMgmt');
BC_DeleteSvc('Nlastisvc');
BC_DeleteSvc('NetDDEdsdmupnphost');
BC_DeleteSvc('MSDTC Mobile Device');
BC_DeleteSvc('mnmsrvcVSS');
BC_DeleteSvc('mnmsrvciPodRpcSsCryptSvc');
BC_DeleteSvc('mnmsrvc Service');
BC_DeleteSvc('LVPrcSrvWmiRDSessMgr');
BC_DeleteSvc('LVPrcSrvWmiBITS');
BC_DeleteSvc('LVPrcSrvWmi');
BC_DeleteSvc('LVCOMSerSpoolerTapiSrvRemoteAccess');
BC_DeleteSvc('LVCOMSerSpooler Service');
BC_DeleteSvc('LVCOMSerSpooler');
BC_DeleteSvc('LVCOMSerLmHosts');
BC_DeleteSvc('iPodRpcSsCryptSvc');
BC_DeleteSvc('ImapiServiceNetman');
BC_DeleteSvc('helpsvcWmiApSrv');
BC_DeleteSvc('FastUserSwitchingCompatibilityBrowser');
BC_DeleteSvc('AutodeskLmHosts');
BC_DeleteSvc('AutodeskCiSvcEventSystem');
BC_DeleteSvc('AutodeskCiSvc');
BC_DeleteSvc('AudioSrvSCardSvr');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
Добавлено через 36 секунд
Сообщение от
most
А то, что Касперский не работает, это нормально?
А мы еще лечимся....
Последний раз редактировалось Rene-gad; 12.08.2008 в 17:27.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Новые логи и карантин отправляем.
А отключение системы в какой момент правильно восстанавливать?
Спасибо.
Последний раз редактировалось most; 19.08.2008 в 14:09.
-
В логах чисто. Сервис Пак 3 нужно поставить (ссылки есть в моей подписи)
Сообщение от
most
А отключение системы в какой момент правильно восстанавливать?
В смысле - восстановление системы отключать .
Там собирается много полезной инфы, но если система заражена, то туда же попадают и зловреды. Выключение системного восстановления обеспечивает удаление всего, что там собралось, в том числе и зловредов.
Позтому его рекомендуется выключить на все время лечения.
Сейчас можете его включить, но это не обязательно.
Почитайте еще нашу библию: http://security-advisory.virusinfo.info/
-
-
Junior Member
- Вес репутации
- 58
По ссылке Сервис Пак 3 обеспечение восстановлено, сделана проверка. Литературу по безопасности компьютера скачали, спасибо. Но это для серьезного просмотра. Но есть новые проблемы :
-английский текст клавиатура набирает не теми буквами, что нажимаешь, поэтому пароли не проходят. Сейчас пришлось подобрать нужные буквы случайным образом;
- переход на перезагрузку идет очень-очень медленно, несколько минут;
-все Веб-сайты, включая ваш, фильтрами фишингов рекомендуется покинуть;
Пожалуйста, подскажите, что делать.
-
Сообщение от
most
-английский текст клавиатура набирает не теми буквами, что нажимаешь
Вы сервис пак для Вашей системы когда скачивали, язык проверили? Посмотрите, что стоит в раскладке клавиатуры.
- переход на перезагрузку идет очень-очень медленно, несколько минут;
запустите редактор реестра, пройдите к ключу HKEY_LOCAL_MACHINE\ SYSTEM\CurrrentControlSet\Control, в правой панели щелкните 2 раза по ключу WaitToKillServiceTimeout, уменьшите значение в 10 раз (default - 20000, сделайте - 2000), закройте редактор реестра.
-все Веб-сайты, включая ваш, фильтрами фишингов рекомендуется покинуть;
А что у Вас за фильтры фишингов стоят? Очистите их или отключите.
-
-
Junior Member
- Вес репутации
- 58
Спасибочки, дорогие кураторы! Вроде бы все постепенно налаживается.
Фильтры - от Microsoft -в поле "сервис", и выносится внизу значок с крестиком, когда узел не нравится.
Программу Bonjour следует удалить? У вас была такая тема, я попробовала убрать -не хочет. И еще, простите дилетантство, диски, которые записывала во время лечения(кино и проч ) с комп. могут оказаться зараженными? надо ли их все проверить? Спасибо!!
-
Сообщение от
most
Программу Bonjour следует удалить? У вас была такая тема, я попробовала убрать -не хочет.
Вот по этой теме делали: http://virusinfo.info/showthread.php...392#post266392 ?
Запустите АВЗ, Сервис/Диспетчер служб и драйверов, Службы, Все .. , сохраните лог и подвесьте его к сообщению.
-
-
Junior Member
- Вес репутации
- 58
По этой ссылке.
Лог составили(надеюсь, что тот, что надо)
Последний раз редактировалось most; 19.08.2008 в 14:09.
-
Сообщение от
most
По этой ссылке.
Лог составили(надеюсь, что тот, что надо)
Все верно Попробуйте еще раз по ссылке, но кавычки не ставьте.
Скрипт для АВЗ - только если по ссылке не получится - мне просто интерсно, получится ли удалить ссылку без скрипта
Код:
begin
DeleteService('Bonjour Service',);
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
end.
-