Показано с 1 по 13 из 13.

Вирусы! (заявка № 28001)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35

    Thumbs up Вирусы!

    Здравствуйте!
    Прошу помощи! Dr Web и Аваст не справляются! Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Winej63.sys
    C:\WINDOWS\System32\Drivers\Winkr75.sys
    C:\WINDOWS\System32\Drivers\Winrx17.sys
    C:\WINDOWS\System32\Drivers\Winsa63.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteService('MaxtorAppMgmt');
     DeleteService('dmserverNla');
     DeleteService('CryptSvcShellHWDetection');
     DeleteService('avast!NetDDEdsdm');
     DeleteService('WudfSvcUPS');
     DeleteService('WudfSvcClipSrv');
     DeleteService('Winsx74');
     DeleteService('Winsa63');
     DeleteService('Winrx17');
     DeleteService('Winls63');
     DeleteService('Winkr75');
     DeleteService('Winej63');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys','');
     QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\winzzc32.dll','');
     QuarantineFile('c:\sysprep\patch\sysprep.cmd','');
     QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe','');
     DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe');
     DeleteFile('C:\WINDOWS\system32\winzzc32.dll');
     DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('MaxtorAppMgmt');
     BC_DeleteSvc('dmserverNla');
     BC_DeleteSvc('CryptSvcShellHWDetection');
     BC_DeleteSvc('avast!NetDDEdsdm');
     BC_DeleteSvc('WudfSvcUPS');
     BC_DeleteSvce('WudfSvcClipSrv');
     BC_DeleteSvc('Winsx74');
     BC_DeleteSvc('Winsa63');
     BC_DeleteSvc('Winrx17');
     BC_DeleteSvc('Winls63');
     BC_DeleteSvce('Winkr75');
     BC_DeleteSvc('Winej63');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35

    Что-то не получилось!

    В IceSword не нашел указанных вами файлов... Пофиксил...
    Скрипт не запустился, выдав ошибку! Правда, перед тем как получил ваши рекомендации и начал их применять Curit нашел и "убил" несколько файлов... Прикрепляю новые логи... Может что-то сделал не так?! Спасибо.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35

    В дополение

    DrWeb нашел Trojan.Rntm.10 и удалил...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Исправил,выполняйте:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteService('MaxtorAppMgmt');
     DeleteService('dmserverNla');
     DeleteService('CryptSvcShellHWDetection');
     DeleteService('avast!NetDDEdsdm');
     DeleteService('WudfSvcUPS');
     DeleteService('WudfSvcClipSrv');
     DeleteService('Winsx74');
     DeleteService('Winsa63');
     DeleteService('Winrx17');
     DeleteService('Winls63');
     DeleteService('Winkr75');
     DeleteService('Winej63');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys','');
     QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\winzzc32.dll','');
     QuarantineFile('c:\sysprep\patch\sysprep.cmd','');
     QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe','');
     DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe');
     DeleteFile('C:\WINDOWS\system32\winzzc32.dll');
     DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('MaxtorAppMgmt');
     BC_DeleteSvc('dmserverNla');
     BC_DeleteSvc('CryptSvcShellHWDetection');
     BC_DeleteSvc('avast!NetDDEdsdm');
     BC_DeleteSvc('WudfSvcUPS');
     BC_DeleteSvc('WudfSvcClipSrv');
     BC_DeleteSvc('Winsx74');
     BC_DeleteSvc('Winsa63');
     BC_DeleteSvc('Winrx17');
     BC_DeleteSvc('Winls63');
     BC_DeleteSvc('Winkr75');
     BC_DeleteSvc('Winej63');
    BC_Activate;
    RebootWindows(true);
    end.

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35
    Сделал. Кажется ничего не обнаружилось! Прикрепляю логи!
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пофиксить

    Код:
    O2 - BHO: (no name) - {DDE832EA-0E53-4428-99C1-6AC591B3ABE3} - C:\WINDOWS\system32\vtsts.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{DDE832EA-0E53-4428-99C1-6AC591B3ABE3}'); 
     DeleteService('Winyg74');
     DeleteService('Winsx74');
     DeleteService('Winsa63');
     DeleteService('Winrx17');
     DeleteService('Winou27');
     DeleteService('Winnu30');
     DeleteService('Winkr75');
     DeleteService('Winej63');
     DeleteService('WudfSvcUPS');
     DeleteService('WudfSvcClipSrv');
     DeleteService('RemoteAccessDhcp');
     DeleteService('MaxtorAppMgmt');
     DeleteService('Dot3svc Mail Scanner');
     DeleteService('dmserverNla');
     DeleteService('CryptSvcShellHWDetection');
     DeleteService('avast!NetDDEdsdmNetDDE');
     DeleteService('avast!NetDDEdsdm');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnu30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys');
     DeleteFile('C:\WINDOWS\system32\vtsts.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35
    Спасибо за помощь, но должен срочно на встречу уехать!!!!
    Пофиксил, скрипт выполнил! Как вернусь - выложу логи!!
    Еще раз спасибо!!!

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35

    Новые логи

    Только добрался до компьютера!
    Выкладываю новые логи!
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Проблем в логах не вижу.
    А Вы?

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35
    Пока всё хорошо! Даже если я их посмотрю (логи) - вряд ли что-то квалифицированно обнаружу! Спасибо за помощь!!!!! Пожалуй, загляну сейчас в вашу "свинку"!!! Только вот там текст для смс в двух местах по-разному написан!!!
    Восстановление системы включаю?!!..

    Добавлено через 1 минуту

    kop38246+65
    kop+38246+65
    Последний раз редактировалось tresamigos; 15.08.2008 в 19:43. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Спасибо Насчет СМС - не знаю. Спросите плиз у нашего администратора anton_dr через ЛС.
    Системное восстановление можете включить.

  14. #13
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    31
    Вес репутации
    35
    Ок! Еще раз спасибо!!!

  • Уважаемый(ая) tresamigos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 16:01
    2. Ответов: 1
      Последнее сообщение: 09.04.2010, 17:00
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    4. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 06:57
    5. Вирусы... снова вирусы
      От Len в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.06.2008, 15:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00850 seconds with 17 queries