Здравствуйте. Сделал все по инструкции. Посмотрите пожалуйста.
Заранее благодарю.
Здравствуйте. Сделал все по инструкции. Посмотрите пожалуйста.
Заранее благодарю.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS.0\system32\WinCtrl32.dll C:\WINDOWS.0\system32\WinCtrl32.bak C:\WINDOWS.0\system32\WinCtrl32.dl_ C:\WINDOWS.0\system32\WinDat.cab C:\WINDOWS.0\System32\Drivers\Windi04.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('AdobeSchedule'); DeleteService('AppMgmt Tomcat 4.1'); DeleteService('AppMgmtMSIServer'); DeleteService('AudioSrvUPS'); DeleteService('CiSvcSharedAccess'); DeleteService('DhcpNetDDE'); DeleteService('DhcpSysmonLogWmdmPmSN'); DeleteService('ERSvcERSvc'); DeleteService('Eventlogstisvc'); DeleteService('EventlogstisvcstisvcTrkWks'); DeleteService('EventlogstisvcW32Time'); DeleteService('HidServPolicyAgent'); DeleteService('HTTPFilterNetlogon'); DeleteService('Irmon Tomcat 4.1'); DeleteService('LexBceSose'); DeleteService('LexBceSRasManALG'); DeleteService('MessengerDcomLaunch'); DeleteService('MSDTCNtmsSvc'); DeleteService('Netlogon Tomcat 4.1'); DeleteService('NetmanTermService'); DeleteService('NlaDnscache'); DeleteService('NlastisvcTrkWks'); DeleteService('ProtectedStorageSharedAccesssrservice'); DeleteService('RasAutoVSS'); DeleteService('RasAutoVSSRasAuto'); DeleteService('RasManALG'); DeleteService('RDSessMgrImpactMySQL'); DeleteService('RDSessMgrImpactMySQLNetDDEdsdm'); DeleteService('RemoteAccessupnphost'); DeleteService('SharedAccesssrservice'); DeleteService('stisvcTrkWks'); DeleteService('SwPrvNetDDEdsdm'); DeleteService('SwPrvWZCSVC'); DeleteService('SysmonLogWmdmPmSN'); DeleteService('TermServiceImpactMySQL'); DeleteService('VSSgusvc'); DeleteService('VSSRasManALG'); DeleteService('winmgmtFastUserSwitchingCompatibility'); DeleteService('wuauserv Tomcat 4.1'); DeleteService('wuauservRemoteRegistry'); DeleteService('wuauservseclogon'); DeleteService('Windi04'); DeleteService('Jou84'); DeleteService('Winua04'); DeleteService('Winty40'); DeleteService('Wintb62'); DeleteService('Winsx27'); DeleteService('Winrw51'); DeleteService('Winqv83'); DeleteService('Winpu38'); DeleteService('Winns72'); DeleteService('Winmr04'); DeleteService('Winkp83'); DeleteService('Winhm51'); DeleteService('Wingl38'); DeleteService('Winfk62'); DeleteService('Winej51'); DeleteService('Winch72'); DeleteService('Winaf37'); DeleteService('Winaf05'); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys',''); QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr',''); QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll',''); DelBHO('{52D55692-62EB-406D-915C-6B018307B682}'); QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll',''); QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll_',''); DeleteFile('C:\WINDOWS.0\system32\advapi3.dll_'); DeleteFile('C:\WINDOWS.0\system32\advapi3.dll'); DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winej51.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winch72.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf37.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('AdobeSchedule'); BC_DeleteSvc('AppMgmt Tomcat 4.1'); BC_DeleteSvc('AppMgmtMSIServer'); BC_DeleteSvc('AudioSrvUPS'); BC_DeleteSvc('CiSvcSharedAccess'); BC_DeleteSvc('DhcpNetDDE'); BC_DeleteSvc('DhcpSysmonLogWmdmPmSN'); BC_DeleteSvc('ERSvcERSvc'); BC_DeleteSvc('Eventlogstisvc'); BC_DeleteSvc('EventlogstisvcstisvcTrkWks'); BC_DeleteSvc('EventlogstisvcW32Time'); BC_DeleteSvc('HidServPolicyAgent'); BC_DeleteSvc('HTTPFilterNetlogon'); BC_DeleteSvc('Irmon Tomcat 4.1'); BC_DeleteSvc('LexBceSose'); BC_DeleteSvc('LexBceSRasManALG'); BC_DeleteSvc('MessengerDcomLaunch'); BC_DeleteSvc('MSDTCNtmsSvc'); BC_DeleteSvc('Netlogon Tomcat 4.1'); BC_DeleteSvc('NetmanTermService'); BC_DeleteSvc('NlaDnscache'); BC_DeleteSvc('NlastisvcTrkWks'); BC_DeleteSvc('ProtectedStorageSharedAccesssrservice'); BC_DeleteSvc('RasAutoVSS'); BC_DeleteSvc('RasAutoVSSRasAuto'); BC_DeleteSvc('RasManALG'); BC_DeleteSvc('RDSessMgrImpactMySQL'); BC_DeleteSvc('RDSessMgrImpactMySQLNetDDEdsdm'); BC_DeleteSvc('RemoteAccessupnphost'); BC_DeleteSvc('SharedAccesssrservice'); BC_DeleteSvc('stisvcTrkWks'); BC_DeleteSvc('SwPrvNetDDEdsdm'); BC_DeleteSvc('SwPrvWZCSVC'); BC_DeleteSvc('SysmonLogWmdmPmSN'); BC_DeleteSvc('TermServiceImpactMySQL'); BC_DeleteSvc('VSSgusvc'); BC_DeleteSvc('VSSRasManALG'); BC_DeleteSvc('winmgmtFastUserSwitchingCompatibility'); BC_DeleteSvc('wuauserv Tomcat 4.1'); BC_DeleteSvc('wuauservRemoteRegistry'); BC_DeleteSvc('wuauservseclogon'); BC_DeleteSvc('Windi04'); BC_DeleteSvc('Jou84'); BC_DeleteSvc('Winua04'); BC_DeleteSvc('Winty40'); BC_DeleteSvc('Wintb62'); BC_DeleteSvc('Winsx27'); BC_DeleteSvc('Winrw51'); BC_DeleteSvc('Winqv83'); BC_DeleteSvc('Winpu38'); BC_DeleteSvc('Winns72'); BC_DeleteSvc('Winmr04'); BC_DeleteSvc('Winkp83'); BC_DeleteSvc('Winhm51'); BC_DeleteSvc('Wingl38'); BC_DeleteSvc('Winfk62'); BC_DeleteSvc('Winej51'); BC_DeleteSvc('Winch72'); BC_DeleteSvc('Winaf37'); BC_DeleteSvc('Winaf05'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
(увы, но кроме вирусов нада еще и работать )
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS.0\System32\Drivers\Windi04.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Windi04'); DeleteService('lanmanworkstationNetDDEdsdm'); QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys'); DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Windi04'); BC_DeleteSvc('lanmanworkstationNetDDEdsdm'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Windi04.sys не найден
-Пофиксите
Если записи в hosts делали не ВыКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Больше ничего плохого не видно.Код:begin executerepair(13); RebootWindows(true); end.
Сервис Пак 3 поставьте, возможно потребуется активация системы.
Уважаемый(ая) roman_bv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.