Вчера весь вечер бился, пока не нашёл virusinfo
Вчера весь вечер бился, пока не нашёл virusinfo
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
и сделайте им Force Delete.C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\drivers\Winmv22.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winvx61'); DeleteService('Wints83'); DeleteService('Winta68'); DeleteService('Winrm37'); DeleteService('Winrj43'); DeleteService('Winrc78'); DeleteService('Winqp81'); DeleteService('Winkc48'); DeleteService('Winjb32'); DeleteService('Winev85'); DeleteService('Wined04'); DeleteService('Wincp57'); DeleteService('Winbv15'); DeleteService('Winbk04'); DeleteService('Winbh24'); DeleteService('Winan72'); DeleteService('Winag81'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvx61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrm37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrc78.sys',''); QuarantineFile('Winqp81.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkc48.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjb32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winev85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wined04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wincp57.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbv15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbk04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winan72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winag81.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winag81.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winan72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbk04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbv15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincp57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wined04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winev85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjb32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkc48.sys'); DeleteFile('Winqp81.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrc78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrm37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvx61.sys'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winvx61'); BC_DeleteSvc('Wints83'); BC_DeleteSvc('Winta68'); BC_DeleteSvc('Winrm37'); BC_DeleteSvc('Winrj43'); BC_DeleteSvc('Winrc78'); BC_DeleteSvc('Winqp81'); BC_DeleteSvc('Winkc48'); BC_DeleteSvc('Winjb32'); BC_DeleteSvc('Winev85'); BC_DeleteSvc('Wined04'); BC_DeleteSvc('Wincp57'); BC_DeleteSvc('Winbv15'); BC_DeleteSvc('Winbk04'); BC_DeleteSvc('Winbh24'); BC_DeleteSvc('Winan72'); BC_DeleteSvc('Winag81'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29275
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Файл сохранён как080830_050831_virus_48b91c1fcfce3.zipРазмер файла22593MD541b1db2bc4f10f0a7ec102a6074f8b78
Карантин выгрузил
Новые логи.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe, O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - F:\Vesonablydateli\PartyGammon\RunBackGammon.exe (file missing) O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - F:\Vesonablydateli\PartyGammon\RunBackGammon.exe (file missing) O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFile('C:\WINDOWS\system32\oembios.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winph11'); BC_DeleteSvc('Winpg37'); BC_DeleteSvc('Winnf37'); BC_DeleteSvc('Winmv22'); BC_DeleteSvc('Winkl26'); BC_DeleteSvc('Windu87'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Готово.
Новые логи:
Логи чистые.
Какие-то проблемы остались?
I am not young enough to know everything...
Видимых проблем нет. Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bdd (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) Slavva, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.