Здравствуйте!
Прошу помощи! Dr Web и Аваст не справляются! Спасибо.
Здравствуйте!
Прошу помощи! Dr Web и Аваст не справляются! Спасибо.
Скачайте IceSword , поищите и скопируйте файлы:
Потом удалите их с помощью force deleteКод:C:\WINDOWS\System32\Drivers\Winej63.sys C:\WINDOWS\System32\Drivers\Winkr75.sys C:\WINDOWS\System32\Drivers\Winrx17.sys C:\WINDOWS\System32\Drivers\Winsa63.sys C:\WINDOWS\system32\WinCtrl32.dll
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteService('MaxtorAppMgmt'); DeleteService('dmserverNla'); DeleteService('CryptSvcShellHWDetection'); DeleteService('avast!NetDDEdsdm'); DeleteService('WudfSvcUPS'); DeleteService('WudfSvcClipSrv'); DeleteService('Winsx74'); DeleteService('Winsa63'); DeleteService('Winrx17'); DeleteService('Winls63'); DeleteService('Winkr75'); DeleteService('Winej63'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys',''); QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\system32\winzzc32.dll',''); QuarantineFile('c:\sysprep\patch\sysprep.cmd',''); QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe',''); DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe'); DeleteFile('C:\WINDOWS\system32\winzzc32.dll'); DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('MaxtorAppMgmt'); BC_DeleteSvc('dmserverNla'); BC_DeleteSvc('CryptSvcShellHWDetection'); BC_DeleteSvc('avast!NetDDEdsdm'); BC_DeleteSvc('WudfSvcUPS'); BC_DeleteSvce('WudfSvcClipSrv'); BC_DeleteSvc('Winsx74'); BC_DeleteSvc('Winsa63'); BC_DeleteSvc('Winrx17'); BC_DeleteSvc('Winls63'); BC_DeleteSvce('Winkr75'); BC_DeleteSvc('Winej63'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
В IceSword не нашел указанных вами файлов... Пофиксил...
Скрипт не запустился, выдав ошибку! Правда, перед тем как получил ваши рекомендации и начал их применять Curit нашел и "убил" несколько файлов... Прикрепляю новые логи... Может что-то сделал не так?! Спасибо.
DrWeb нашел Trojan.Rntm.10 и удалил...
Исправил,выполняйте:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteService('MaxtorAppMgmt'); DeleteService('dmserverNla'); DeleteService('CryptSvcShellHWDetection'); DeleteService('avast!NetDDEdsdm'); DeleteService('WudfSvcUPS'); DeleteService('WudfSvcClipSrv'); DeleteService('Winsx74'); DeleteService('Winsa63'); DeleteService('Winrx17'); DeleteService('Winls63'); DeleteService('Winkr75'); DeleteService('Winej63'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr75.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej63.sys',''); QuarantineFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\system32\winzzc32.dll',''); QuarantineFile('c:\sysprep\patch\sysprep.cmd',''); QuarantineFile('c:\docume~1\dsx\locals~1\temp\loader.exe',''); DeleteFile('c:\docume~1\dsx\locals~1\temp\loader.exe'); DeleteFile('C:\WINDOWS\system32\winzzc32.dll'); DeleteFile('C:\DOCUME~1\DSX\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('MaxtorAppMgmt'); BC_DeleteSvc('dmserverNla'); BC_DeleteSvc('CryptSvcShellHWDetection'); BC_DeleteSvc('avast!NetDDEdsdm'); BC_DeleteSvc('WudfSvcUPS'); BC_DeleteSvc('WudfSvcClipSrv'); BC_DeleteSvc('Winsx74'); BC_DeleteSvc('Winsa63'); BC_DeleteSvc('Winrx17'); BC_DeleteSvc('Winls63'); BC_DeleteSvc('Winkr75'); BC_DeleteSvc('Winej63'); BC_Activate; RebootWindows(true); end.
Сделал. Кажется ничего не обнаружилось! Прикрепляю логи!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O2 - BHO: (no name) - {DDE832EA-0E53-4428-99C1-6AC591B3ABE3} - C:\WINDOWS\system32\vtsts.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{DDE832EA-0E53-4428-99C1-6AC591B3ABE3}'); DeleteService('Winyg74'); DeleteService('Winsx74'); DeleteService('Winsa63'); DeleteService('Winrx17'); DeleteService('Winou27'); DeleteService('Winnu30'); DeleteService('Winkr75'); DeleteService('Winej63'); DeleteService('WudfSvcUPS'); DeleteService('WudfSvcClipSrv'); DeleteService('RemoteAccessDhcp'); DeleteService('MaxtorAppMgmt'); DeleteService('Dot3svc Mail Scanner'); DeleteService('dmserverNla'); DeleteService('CryptSvcShellHWDetection'); DeleteService('avast!NetDDEdsdmNetDDE'); DeleteService('avast!NetDDEdsdm'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnu30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsa63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys'); DeleteFile('C:\WINDOWS\system32\vtsts.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Спасибо за помощь, но должен срочно на встречу уехать!!!!
Пофиксил, скрипт выполнил! Как вернусь - выложу логи!!
Еще раз спасибо!!!
Только добрался до компьютера!
Выкладываю новые логи!
Проблем в логах не вижу.
А Вы?
Пока всё хорошо! Даже если я их посмотрю (логи) - вряд ли что-то квалифицированно обнаружу! Спасибо за помощь!!!!! Пожалуй, загляну сейчас в вашу "свинку"!!! Только вот там текст для смс в двух местах по-разному написан!!!
Восстановление системы включаю?!!..
Добавлено через 1 минуту
kop38246+65
kop+38246+65
Последний раз редактировалось tresamigos; 15.08.2008 в 20:43. Причина: Добавлено
Спасибо Насчет СМС - не знаю. Спросите плиз у нашего администратора anton_dr через ЛС.
Системное восстановление можете включить.
Ок! Еще раз спасибо!!!
Уважаемый(ая) tresamigos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.