Выполнил "правила перед запросом о помощи", выкладываю логи, помогите пожалуйста. Установлен SAV CE, корпоративный, но вирус одолевает только одну машину...
Выполнил "правила перед запросом о помощи", выкладываю логи, помогите пожалуйста. Установлен SAV CE, корпоративный, но вирус одолевает только одну машину...
где логи ?
Простите, не разобрался сразу, как вложения прикрепить.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyt71'); DeleteService('Winyo60'); DeleteService('Winyj11'); DeleteService('Winye52'); DeleteService('Winye41'); DeleteService('Winxi17'); DeleteService('Winxi00'); DeleteService('Winwh60'); DeleteService('Winwc66'); DeleteService('Winvv14'); DeleteService('Winvg47'); DeleteService('Winvb85'); DeleteService('Winua11'); DeleteService('Wintt06'); DeleteService('Winto65'); DeleteService('Wintj25'); DeleteService('Winss11'); DeleteService('Winrr44'); DeleteService('Winoo85'); DeleteService('Winoe74'); DeleteService('Winnx85'); DeleteService('Winnn63'); DeleteService('Winmw85'); DeleteService('Winmh30'); DeleteService('Winmh17'); DeleteService('Winlq33'); DeleteService('Winlg14'); DeleteService('Winjj28'); DeleteService('Wingg88'); DeleteService('Wingg11'); DeleteService('Winfp25'); DeleteService('Winfa14'); DeleteService('Winet66'); DeleteService('Windi28'); DeleteService('Winbq44'); DeleteService('Winbq33'); DeleteService('Winbq30'); DeleteService('Winau85'); DeleteService('Winaa00'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winaa00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winau85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq33.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbq44.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windi28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winet66.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfa14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjj28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlg14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq33.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmh17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmh30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmw85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnn63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnx85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr44.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winss11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintj25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winto65.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintt06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc66.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwh60.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winye41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winye52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyj11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyt71.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winyt71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyo60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyj11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxi17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxi00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwh60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvv14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvg47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintt06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winto65.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintj25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrr44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoo85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoe74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnx85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnn63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmw85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmh30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmh17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlg14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjj28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingg88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingg11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfp25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfa14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winet66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbq44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbq33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbq30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winau85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winaa00.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winyt71'); BC_DeleteSvc('Winyo60'); BC_DeleteSvc('Winyj11'); BC_DeleteSvc('Winye52'); BC_DeleteSvc('Winye41'); BC_DeleteSvc('Winxi17'); BC_DeleteSvc('Winxi00'); BC_DeleteSvc('Winwh60'); BC_DeleteSvc('Winwc66'); BC_DeleteSvc('Winvv14'); BC_DeleteSvc('Winvg47'); BC_DeleteSvc('Winvb85'); BC_DeleteSvc('Winua11'); BC_DeleteSvc('Wintt06'); BC_DeleteSvc('Winto65'); BC_DeleteSvc('Wintj25'); BC_DeleteSvc('Winss11'); BC_DeleteSvc('Winrr44'); BC_DeleteSvc('Winoo85'); BC_DeleteSvc('Winoe74'); BC_DeleteSvc('Winnx85'); BC_DeleteSvc('Winnn63'); BC_DeleteSvc('Winmw85'); BC_DeleteSvc('Winmh30'); BC_DeleteSvc('Winmh17'); BC_DeleteSvc('Winlq33'); BC_DeleteSvc('Winlg14'); BC_DeleteSvc('Winjj28'); BC_DeleteSvc('Wingg88'); BC_DeleteSvc('Wingg11'); BC_DeleteSvc('Winfp25'); BC_DeleteSvc('Winfa14'); BC_DeleteSvc('Winet66'); BC_DeleteSvc('Windi28'); BC_DeleteSvc('Winbq44'); BC_DeleteSvc('Winbq33'); BC_DeleteSvc('Winbq30'); BC_DeleteSvc('Winau85'); BC_DeleteSvc('Winaa00'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Выполнил, выкладываю новые логи.
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winjj30.sys C:\WINDOWS\System32\Drivers\Winss11.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winss11'); DeleteService('Winjj30'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winss11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjj30.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winjj30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winss11.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winss11'); BC_DeleteSvc('Winjj30'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Выполнил, новые логи.
Файлов:
Не нашел в системе.Код:C:\WINDOWS\System32\Drivers\Winjj30.sys C:\WINDOWS\System32\Drivers\Winss11.sys
Ничего подозрительного.
Сервис Пак 3 нужно поставить.
Rene-gad, большой респект за помощь, очень благодарен.
Уважаемый(ая) Sergeant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.