Здраствуйте.
Обнаружил у себя с помощью NOD32 следующий букет:
Wigon.CK
Kryptik.E
TrojanDownloader.FakeAlert.GS
Помогите избавится, пожалуйста.
Здраствуйте.
Обнаружил у себя с помощью NOD32 следующий букет:
Wigon.CK
Kryptik.E
TrojanDownloader.FakeAlert.GS
Помогите избавится, пожалуйста.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winyk84.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyf41'); DeleteService('Uci41'); DeleteService('tcpsr'); DeleteService('Tbh74'); DeleteService('Ryf17'); DeleteService('Ovb85'); DeleteService('Cjo41'); DeleteService('WmiPlugPlay'); DeleteService('winmgmthelpsvc'); DeleteService('WebClientCiSvc'); DeleteService('UPSNetDDEdsdm'); DeleteService('UPSMSIServer'); DeleteService('upnphostBITS'); DeleteService('TlntSvrSamSsImapiServiceRasManNetDDEdsdm'); DeleteService('TlntSvrSamSsImapiService'); DeleteService('srserviceRasManNetDDEdsdm'); DeleteService('SENSNetman'); DeleteService('SCardSvrNetlogonRasMan'); DeleteService('SCardSvrNetlogon'); DeleteService('SamSsImapiService'); DeleteService('RasManNetDDEdsdmdmserverdmadmin'); DeleteService('RasManNetDDEdsdm'); DeleteService('RasMandmserverCOMSysApp'); DeleteService('RasMandmserver'); DeleteService('ProtectedStorageTapiSrvHTTPFilter'); DeleteService('ProtectedStorageTapiSrv'); DeleteService('NtmsSvcERSvc'); DeleteService('Netlogonseclogon'); DeleteService('MSDTCSENSNetman'); DeleteService('MDMSamSsImapiService'); DeleteService('lanmanserverRasAuto'); DeleteService('lanmanserverMDMSamSsImapiService'); DeleteService('EventSystemxmlprov'); DeleteService('dmserverdmadmindmadmin'); DeleteService('dmserverdmadmin'); DeleteService('DcomLaunchDnscacheProtectedStorageTapiSrvHTTPFilter'); DeleteService('DcomLaunchDnscache'); DeleteService('BrowserMSDTC'); DeleteService('BrowserImapiService'); DeleteService('AlerterSamSsRasMandmserver'); DeleteService('AlerterSamSs'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINDOWS\system32\blphc7eaj0ee0l.scr',''); QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyk84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cjo41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ovb85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tbh74.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Uci41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf41.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winyk84.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winyk84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Uci41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tbh74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ryf17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ovb85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cjo41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyk84.sys'); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\system32\blphc7eaj0ee0l.scr'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winyf41'); BC_DeleteSvc('Uci41'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Tbh74'); BC_DeleteSvc('Ryf17'); BC_DeleteSvc('Ovb85'); BC_DeleteSvc('Cjo41'); BC_DeleteSvc('WmiPlugPlay'); BC_DeleteSvc('winmgmthelpsvc'); BC_DeleteSvc('WebClientCiSvc'); BC_DeleteSvc('UPSNetDDEdsdm'); BC_DeleteSvc('UPSMSIServer'); BC_DeleteSvc('upnphostBITS'); BC_DeleteSvc('TlntSvrSamSsImapiServiceRasManNetDDEdsdm'); BC_DeleteSvc('TlntSvrSamSsImapiService'); BC_DeleteSvc('srserviceRasManNetDDEdsdm'); BC_DeleteSvc('SENSNetman'); BC_DeleteSvc('SCardSvrNetlogonRasMan'); BC_DeleteSvc('SCardSvrNetlogon'); BC_DeleteSvc('SamSsImapiService'); BC_DeleteSvc('RasManNetDDEdsdmdmserverdmadmin'); BC_DeleteSvc('RasManNetDDEdsdm'); BC_DeleteSvc('RasMandmserverCOMSysApp'); BC_DeleteSvc('RasMandmserver'); BC_DeleteSvc('ProtectedStorageTapiSrvHTTPFilter'); BC_DeleteSvc('ProtectedStorageTapiSrv'); BC_DeleteSvc('NtmsSvcERSvc'); BC_DeleteSvc('Netlogonseclogon'); BC_DeleteSvc('MSDTCSENSNetman'); BC_DeleteSvc('MDMSamSsImapiService'); BC_DeleteSvc('lanmanserverRasAuto'); BC_DeleteSvc('lanmanserverMDMSamSsImapiService'); BC_DeleteSvc('EventSystemxmlprov'); BC_DeleteSvc('dmserverdmadmindmadmin'); BC_DeleteSvc('dmserverdmadmin'); BC_DeleteSvc('DcomLaunchDnscacheProtectedStorageTapiSrvHTTPFilter'); BC_DeleteSvc('DcomLaunchDnscache'); BC_DeleteSvc('BrowserMSDTC'); BC_DeleteSvc('BrowserImapiService'); BC_DeleteSvc('AlerterSamSsRasMandmserver'); BC_DeleteSvc('AlerterSamSs'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Все сделал.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winyk84.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyk84'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyk84.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winyk84.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winyk84'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Запрашиваемый файл в системе не обнаружен.
Все остальное сделал.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('VSSMSDTC'); DeleteService('MDMSamSsImapiServicexmlprov'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('VSSMSDTC'); BC_DeleteSvc('MDMSamSsImapiServicexmlprov'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Done
Если Вам это не известно -Пофиксите
Больше ничего плохого не видно.Код:O24 - Desktop Component 0: (no name) - http://i.i.ua/prikol/pic/1/3/99931.jpg
Поставьте Сервис Пак 3, возможно потребуется активация системы.
ок
спасибо большое
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\рабочий стол\\антивирус\\quarantine\\malw2 - Trojan-Downloader.Win32.Mutant.azr (DrWEB: Trojan.DownLoad.3503)
- c:\\documents and settings\\администратор\\рабочий стол\\антивирус\\quarantine\\malw3 - Trojan-Downloader.Win32.Mutant.azr (DrWEB: Trojan.DownLoad.3503)
Уважаемый(ая) kol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.