никак не удалить. (Смотрю в msconfig). ISP ругается, что с этого IP идёт какой-то бешеный траффик по разным портам (начально - по 25)
Cureit'ом почистил, не помогает.
никак не удалить. (Смотрю в msconfig). ISP ругается, что с этого IP идёт какой-то бешеный траффик по разным портам (начально - по 25)
Cureit'ом почистил, не помогает.
Последний раз редактировалось lop; 02.09.2008 в 13:34.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{00D13CE9-1879-41bd-B8A3-EA3CB1BD01BC}'); DelBHO('{10A75906-D55D-42BF-BB79-9EEEB31CA08C}'); DelBHO('{3878A544-E465-4aad-AF9D-B2A680C2F7EC}'); DelBHO('{55DB983C-BDBF-426f-86F0-187B02DDA39B}'); DelBHO('{92335157-984B-4692-8405-530335CA9F27}'); DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}'); QuarantineFile('C:\WINDOWS\system32\mswapi.dll',''); QuarantineFile('C:\WINDOWS\system32\mlicaccl.dll',''); QuarantineFile('C:\WINDOWS\system32\yrureifh.dll',''); QuarantineFile('C:\WINDOWS\system32\xvidcor.dll',''); QuarantineFile('C:\WINDOWS\system32\helper1.dll',''); QuarantineFile('mswshl.dll',''); QuarantineFile('C:\WINDOWS\system32\riyqh73.dll',''); QuarantineFile('C:\WINDOWS\system32\ole3lsas.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX',''); QuarantineFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winad34.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winck00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wincn37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windj02.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windm13.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windo12.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windq40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winev54.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfe84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winik67.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winji55.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winle01.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnf51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winod12.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxt56.sys',''); QuarantineFile('C:\WINDOWS\system32\k53lock.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteService('Winxt56'); DeleteService('Wintb26'); DeleteService('Winsm34'); DeleteService('Winod12'); DeleteService('Winnw18'); DeleteService('Winnf51'); DeleteService('Winle01'); DeleteService('Winji55'); DeleteService('Winik67'); DeleteService('Winfe84'); DeleteService('Winev54'); DeleteService('Windq40'); DeleteService('Windo12'); DeleteService('Windm13'); DeleteService('Windj02'); DeleteService('Wincn37'); DeleteService('Winck00'); DeleteService('Winad34'); DeleteService('k53lock'); DeleteService('WmdmPmSNTrkWks'); DeleteService('WmdmPmSNPlugPlay'); DeleteService('upnphostRemoteAccess'); DeleteService('stisvcBrowser'); DeleteService('RasAutoDnscache'); DeleteService('NlaCiSvc'); DeleteService('MSIServerSpooler'); DeleteService('ImapiServiceSSDPSRV'); DeleteService('EventlogNetlogon'); DeleteService('dmadminWmiMSIServer'); DeleteService('dmadminWmi'); DeleteService('dmadminSwPrv'); DeleteService('COMSysAppSamSs'); DeleteService('COMSysAppERSvc'); DeleteService('ClipSrvNla'); DeleteService('AudioSrvImapiServiceSSDPSRV'); DeleteService('ALGWebClient'); DeleteService('AlerterNetman'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\k53lock.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxt56.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintb26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsm34.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winod12.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnw18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnf51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winle01.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winji55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winik67.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfe84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winev54.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windq40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windo12.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windm13.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windj02.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincn37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winck00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winad34.sys'); DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll'); DeleteFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL'); DeleteFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ole3lsas.dll'); DeleteFile('C:\WINDOWS\system32\riyqh73.dll'); DeleteFile('mswshl.dll'); DeleteFile('C:\WINDOWS\system32\helper1.dll'); DeleteFile('C:\WINDOWS\system32\xvidcor.dll'); DeleteFile('C:\WINDOWS\system32\yrureifh.dll'); DeleteFile('C:\WINDOWS\system32\mlicaccl.dll'); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winxt56'); BC_DeleteSvc('Wintb26'); BC_DeleteSvc('Winsm34'); BC_DeleteSvc('Winod12'); BC_DeleteSvc('Winnw18'); BC_DeleteSvc('Winnf51'); BC_DeleteSvc('Winle01'); BC_DeleteSvc('Winji55'); BC_DeleteSvc('Winik67'); BC_DeleteSvc('Winfe84'); BC_DeleteSvc('Winev54'); BC_DeleteSvc('Windq40'); BC_DeleteSvc('Windo12'); BC_DeleteSvc('Windm13'); BC_DeleteSvc('Windj02'); BC_DeleteSvc('Wincn37'); BC_DeleteSvc('Winck00'); BC_DeleteSvc('Winad34'); BC_DeleteSvc('k53lock'); BC_DeleteSvc('WmdmPmSNTrkWks'); BC_DeleteSvc('WmdmPmSNPlugPlay'); BC_DeleteSvc('upnphostRemoteAccess'); BC_DeleteSvc('stisvcBrowser'); BC_DeleteSvc('RasAutoDnscache'); BC_DeleteSvc('NlaCiSvc'); BC_DeleteSvc('MSIServerSpooler'); BC_DeleteSvc('ImapiServiceSSDPSRV'); BC_DeleteSvc('EventlogNetlogon'); BC_DeleteSvc('dmadminWmiMSIServer'); BC_DeleteSvc('dmadminWmi'); BC_DeleteSvc('dmadminSwPrv'); BC_DeleteSvc('COMSysAppSamSs'); BC_DeleteSvc('COMSysAppERSvc'); BC_DeleteSvc('ClipSrvNla'); BC_DeleteSvc('AudioSrvImapiServiceSSDPSRV'); BC_DeleteSvc('ALGWebClient'); BC_DeleteSvc('AlerterNetman'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
нашёл только 2 из 3:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
Скопировал их в другое место, а из system32 удалил (с помощью IceSword)
Не могу поместить их в карантин: делаю всё, как в приложении 2 написано, но они к списку файлов карантина не добавляются. Среди файлов карантина есть C:\WINDOWS\system32\WinCtrl32.dll (2 раза).
Пока отсылаю только новые логи и те 2, что AVZ видит в списке карантина.
поиском нашёл в папке C:\WINDOWS\pss такие файлы:
$F$L$D$.ACLCommon Startup
$F$L$D$.ACLStartup
$F$L$D$.IDXCommon Startup
$F$L$D$.IDXStartup
Антивирь на них не реагирует. Не знаете ли, что это за папка pss такая с подозрительными именами файлов? Может её снести лучше?
Последний раз редактировалось Rene-gad; 02.09.2008 в 12:02.
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winsn80.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:O4 - .DEFAULT User Startup: $F$L$D$.IDX (User 'Default user') O4 - .DEFAULT User Startup: $F$L$D$.ACL (User 'Default user') O20 - Winlogon Notify: ntlogon - C:\WINDOWS\ O20 - Winlogon Notify: ole3lsas - C:\WINDOWS\ O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: reset6 - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winsn80'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsn80.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winsn80.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winsn80''); BC_Activate; RebootWindows(true); end.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
C:\WINDOWS\System32\Drivers\Winsn80.sys не нашёл.
строчки с 04 не фиксятся.
Логи высылаю.Упс, не получается логи выслать, чуть позже попробую.
Добавлено через 24 минуты
лежат здесь, через управление вложениями не получается:
http://ifolder.ru/7951933
Или подскажите, как их иначе заслать.
Последний раз редактировалось lop; 02.09.2008 в 14:02. Причина: Добавлено
-Пофиксите
ФайлыКод:F2 - REG:system.ini: UserInit=userinit.exe,
поищите и пришлите по приложению 2 и 3 правил.Код:C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL
У Вас Аутпост стоит или стоял?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('dmadminSwPrvSENS') BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('dmadminSwPrvSENS'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
$F$L$D$.IDX, $F$L$D$.ACL (скрытый, только чтение) находились почти в каждой папке компьютера. Я их удалил.
Да, пофиксил, то есть запустил HJT, scan, отметил галкой и нажал Fix Checkied. Повторно не сканил.
OutPost не стоит, хотя раньше, возможно, и ставился, я тут не очень давно.
Скрипты выполнил, карантин загрузил.
Запустите Хайджек, посмотрите - появятся ли записи.
- такой записи нет. Всё ОК?
Если записи не появились,все ок
Спасибо, особенно Rene-gadу!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) lop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.