Меня тоже настиг этот вирус, прочитал что надо сделать выкладываю файлы
Заранее благодарю за помощь)))
Меня тоже настиг этот вирус, прочитал что надо сделать выкладываю файлы
Заранее благодарю за помощь)))
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\auto.exe',''); QuarantineFile('C:\DOCUME~1\6F0F~1\LOCALS~1\Temp\k111523980817ow.dll',''); BC_DeleteSvc('xmlprovseclogonUxTuneUpNVSvc'); BC_DeleteSvc('WZCSVCWmiApSrv'); BC_DeleteSvc('WmiApSrvBthServ'); BC_DeleteSvc('winmgmtLmHostsRpcSsPolicyAgent'); BC_DeleteSvc('winmgmtLmHostsCryptSvcseclogonShellHWDetection'); BC_DeleteSvc('winmgmtLmHosts'); BC_DeleteSvc('WebClientCryptSvcseclogonShellHWDetection'); BC_DeleteSvc('W32Timeseclogonstisvc'); BC_DeleteSvc('VSSRDSessMgr'); BC_DeleteSvc('upnphostNetman'); BC_DeleteSvc('TapiSrvClipSrvSysmonLogSpooler'); BC_DeleteSvc('TapiSrvClipSrvSysmonLogRpcSsPolicyAgent'); BC_DeleteSvc('TapiSrvClipSrvSysmonLog'); BC_DeleteSvc('TapiSrvClipSrv'); BC_DeleteSvc('SwPrvWZCSVCSpoolermnmsrvc'); BC_DeleteSvc('SwPrvWZCSVC'); BC_DeleteSvc('SwPrvseclogonMessengerDcomLaunch'); BC_DeleteSvc('SwPrvseclogonMessenger'); BC_DeleteSvc('stisvchelpsvc'); BC_DeleteSvc('srserviceDhcp'); BC_DeleteSvc('Spoolermnmsrvc'); BC_DeleteSvc('SpoolerDcomLaunchRDSessMgrHidServ'); BC_DeleteSvc('SpoolerDcomLaunchRDSessMgr'); BC_DeleteSvc('seclogonUxTuneUpNVSvcRemoteAccess'); BC_DeleteSvc('SpoolerDcomLaunch'); BC_DeleteSvc('seclogonUxTuneUpNVSvc'); BC_DeleteSvc('seclogonUxTuneUp'); BC_DeleteSvc('seclogonstisvcAudioSrvRasManCryptSvc'); BC_DeleteSvc('seclogonstisvc'); BC_DeleteSvc('seclogonShellHWDetection'); BC_DeleteSvc('seclogonMessengerUxTuneUp'); BC_DeleteSvc('seclogonMessenger'); BC_DeleteSvc('SCardSvrRpcLocator'); BC_DeleteSvc('SCardSvrodserv'); BC_DeleteSvc('SamSsWZCSVCWmiApSrv'); BC_DeleteSvc('RpcSsPolicyAgent'); BC_DeleteSvc('RpcLocatorNtLmSsp'); BC_DeleteSvc('RpcLocatorCryptSvc'); BC_DeleteSvc('RDSessMgrWZCSVC'); BC_DeleteSvc('RDSessMgrHTTPFilterhelpsvc'); BC_DeleteSvc('RDSessMgrBrowser'); BC_DeleteSvc('RasManCryptSvc'); BC_DeleteSvc('RasAutoSCardSvr'); BC_DeleteSvc('ProtectedStoragestisvc'); BC_DeleteSvc('ProtectedStorageodservW32Time'); BC_DeleteSvc('ProtectedStorageodserv'); BC_DeleteSvc('PolicyAgentose'); BC_DeleteSvc('PolicyAgentFastUserSwitchingCompatibility'); BC_DeleteSvc('PlugPlayhelpsvcAudioSrvFastUserSwitchingCompatibilityWmiApSrvBthServ'); BC_DeleteSvc('PlugPlayhelpsvc'); BC_DeleteSvc('NlaPlugPlay'); BC_DeleteSvc('NetDDEPlugPlay'); BC_DeleteSvc('NetDDEdsdmWmiApSrv'); BC_DeleteSvc('NetDDEDnscache'); BC_DeleteSvc('MSDTCNlaPlugPlay'); BC_DeleteSvc('mnmsrvcNetDDEdsdm'); BC_DeleteSvc('MicrosoftRpcSs'); BC_DeleteSvc('MessengerBthServ'); BC_DeleteSvc('lanmanworkstationUMWdfWmdmPmSN'); BC_DeleteSvc('lanmanworkstationUMWdf'); BC_DeleteSvc('lanmanworkstationUMWdfHTTPFilterhelpsvc'); BC_DeleteSvc('HTTPFilterhelpsvc'); BC_DeleteSvc('helpsvcSwPrvWZCSVC'); BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrvBthServ'); BC_DeleteSvc('dmserverseclogonUxTuneUpNVSvc'); BC_DeleteSvc('dmadminDAA06F5MessengerBthServ'); BC_DeleteSvc('DAA06F5RpcSsPolicyAgent'); BC_DeleteSvc('DAA06F5MessengerBthServ'); BC_DeleteSvc('AppMgmtseclogonShellHWDetection'); BC_DeleteSvc('AudioSrvFastUserSwitchingCompatibilityWmiApSrvBthServ'); BC_DeleteSvc('AudioSrvRasManCryptSvc'); BC_DeleteSvc('BthServwscsvc'); BC_DeleteSvc('COMSysAppNlaPlugPlay'); BC_DeleteSvc('CryptSvcseclogonShellHWDetection'); QuarantineFile('C:\WINDOWS\system32\5A9C67EB.EXE',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winpu37.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winpu37.sys'); DeleteFile('C:\DOCUME~1\6F0F~1\LOCALS~1\Temp\k111523980817ow.dll'); DeleteFile('C:\WINDOWS\system32\blphcgr1j0et87.scr'); SysCleanAddFile('WinCtrl32.dll'); DeleteFile('C:\auto.exe'); DeleteFile('C:\autorun.inf'); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(5); ExecuteRepair(9); ExecuteRepair(13); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
http://virusinfo.info/upload_virus.php?tid=29313
Обновите базы AVZ!
Сделайте новые логи и приложите их к своей теме.
PS Пора уже Service Pack 3 на Windows устанавливать.
Спасибо за помощь, логи прикрепляю.
SP3 учту))
SpySweeper - деинсталлируйте!
Отключите!!!Восстановление системы: включено
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
и сделайте им Force Delete.C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winpu37.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; ExecuteAVUpdate; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winpu37'); DeleteService('DAA06F5'); DeleteService('winmgmtLmHostsRpcSsPolicyAgentAlerter'); DeleteService('UPSSamSsWZCSVCWmiApSrv'); DeleteService('SharedAccesshelpsvc'); DeleteService('RDSessMgrBrowserSSDPSRV'); DeleteService('DAA06F5SCardSvr'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\k11126196649.exe',''); QuarantineFile('C:\WINDOWS\system32\k111254737212.exe',''); QuarantineFile('C:\WINDOWS\system32\k11125473689.exe',''); QuarantineFile('C:\WINDOWS\system32\k111252237518.exe',''); QuarantineFile('C:\WINDOWS\system32\k11124675386.exe',''); QuarantineFile('C:\WINDOWS\system32\hoxriw.dll',''); QuarantineFile('C:\WINDOWS\system32\fgnxbw.dll',''); QuarantineFile('C:\Documents and Settings\Ирчонок\Local Settings\Temporary Internet Files\Content.IE5\27KRG94F\e47e57844ef30ab4[1].exe',''); QuarantineFile('C:\WINDOWS\system32\lphcgr1j0et87.exe',''); QuarantineFile('C:\WINDOWS\system32\5A9C67EB.EXE',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winpu37.sys',''); QuarantineFile('C:\WINDOWS\system32\n1125507940k.exe',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winpu37.sys'); DeleteFile('C:\WINDOWS\system32\5A9C67EB.EXE'); DeleteFile('C:\WINDOWS\system32\lphcgr1j0et87.exe'); DeleteFile('C:\Documents and Settings\Ирчонок\Local Settings\Temporary Internet Files\Content.IE5\27KRG94F\e47e57844ef30ab4[1].exe'); DeleteFile('C:\WINDOWS\system32\fgnxbw.dll'); DeleteFile('C:\WINDOWS\system32\hoxriw.dll'); DeleteFile('C:\WINDOWS\system32\k11124675386.exe'); DeleteFile('C:\WINDOWS\system32\k111252237518.exe'); DeleteFile('C:\WINDOWS\system32\k11125473689.exe'); DeleteFile('C:\WINDOWS\system32\k111254737212.exe'); DeleteFile('C:\WINDOWS\system32\k11126196649.exe'); DeleteFile('C:\WINDOWS\system32\n1125507940k.exe'); DelWinlogonNotifyByKeyName('WinCtrl32'); DeleteFile('srv.exe'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winpu37'); BC_DeleteSvc('DAA06F5'); BC_DeleteSvc('winmgmtLmHostsRpcSsPolicyAgentAlerter'); BC_DeleteSvc('UPSSamSsWZCSVCWmiApSrv'); BC_DeleteSvc('SharedAccesshelpsvc'); BC_DeleteSvc('RDSessMgrBrowserSSDPSRV'); BC_DeleteSvc('DAA06F5SCardSvr'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29313
3. Повторите логи.
Последний раз редактировалось Aleksandra; 31.08.2008 в 22:38.
Сердце решает кого любить... Судьба решает с кем быть...
sry sweeper удалил, как отключить восстановление системы так и не понял ( не спец я в компах). AVZ запускаться перестал и в инете не дает нигде лазять!!!! чего делать?
Спасибо за внимание))
Уважаемый(ая) chisel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.