Симптомы такие же, как у прочих пострадавших от этой заразы: при подключении к интернету сканер drweb ругается, зараженный файл можно удалить, но при следующем подключении ситуация повторяется. С компьютера явно идет спам-трафик.
Заранее спасибо!
Симптомы такие же, как у прочих пострадавших от этой заразы: при подключении к интернету сканер drweb ругается, зараженный файл можно удалить, но при следующем подключении ситуация повторяется. С компьютера явно идет спам-трафик.
Заранее спасибо!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windi73.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\winacusb.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\matlabrt.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch16.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqw73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw05.sys'); DeleteFile('D:\Temp\loader.exe'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winrw05'); BC_DeleteSvc('Winqw73'); BC_DeleteSvc('Windi73'); BC_DeleteSvc('Winch16'); BC_DeleteSvc('lanmanworkstationdmadmin'); BC_DeleteSvc('HidServdmadmin'); BC_DeleteSvc('EventSystemAudioSrv'); BC_DeleteSvc('ATIWmiApSrv'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=28020 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантин отправил. Всё почистил, что просили. Вот новые логи.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyf05'); DeleteService('Winlq16'); DeleteService('Winlq16'); DeleteService('VCDSecSBITS'); DeleteService('SPIDERNTlanmanserver'); DeleteService('EventSystemW32Time'); DeleteService('CiSvcSwPrv'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf05.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winyf05'); BC_DeleteSvc('Winlq16'); BC_DeleteSvc('Winlq16'); BC_DeleteSvc('VCDSecSBITS'); BC_DeleteSvc('SPIDERNTlanmanserver'); BC_DeleteSvc('EventSystemW32Time'); BC_DeleteSvc('CiSvcSwPrv'); BC_Activate; RebootWindows(true); end.
Высылаю новые логи.
Вопрос по ходу. Я скачал третий сервис пак для XP, могу ли я его поставить между делом, чтобы меньше было шансов еще чего подцепить, или лучше сначала закончить с лечением?
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('VCDSecSBITS'); DeleteService('SPIDERNTlanmanserver'); DeleteService('EventSystemW32Time'); DeleteService('CiSvcSwPrv'); DeleteService('Winyf05'); DeleteService('Winlq16'); DeleteService('Winch27'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch27.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf05.sys'); BC_ImportDeletedList; ExecuteSysClean; executerepair(7); BC_DeleteSvc('VCDSecSBITS'); BC_DeleteSvc('SPIDERNTlanmanserver'); BC_DeleteSvc('EventSystemW32Time'); BC_DeleteSvc('CiSvcSwPrv'); BC_DeleteSvc('Winyf05'); BC_DeleteSvc('Winlq16'); BC_DeleteSvc('Winch27'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сначала закончим с лечением
Всё сделал. Жду дальнейших указаний.
Ничего зловредного в логах нет.
Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сердце решает кого любить... Судьба решает с кем быть...
Всем огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.l (DrWEB: Trojan.DownLoad.3503)
Уважаемый(ая) Гондурас, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.