Junior Member
Вес репутации
58
Помогите! Не знаю что делать!!
Здравствуйте! Компьютер был заражен. Во-первых, в правом нижнем углу рядом со значками антивирусов и предложений автоматических обновлений загруженных программ появился значок в виде красного кружка с крестиком, который переодически выдает: "Your computer is infected! Windows has detected spyware infection!" и т.д. и требует загрузить какую-то программу. Во-вторых, ни касперский, ни AVZ не запускаются. Систему на вирусы проверить не могу. Помогите, пожалуста! С уважением!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
у меня в подписи спец. верисия авз- её запусти
Junior Member
Вес репутации
58
Вложения
Скачайте IceSword , поищите и скопируйте файлы:
Код:
D:\WINDOWS\system32\WinCtrl32.dll
D:\WINDOWS\system32\WinCtrl32.bak
D:\WINDOWS\system32\WinCtrl32.dl_
D:\WINDOWS\system32\Drivers\Swk70.sys
D:\WINDOWS\System32\drivers\Winek12.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Swk70.sys','');
QuarantineFile('D:\Program Files\XPSecurityCenter\xpsecuritycenter.exe','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\WINDOWS\system32\buritos.exe','');
QuarantineFile('D:\WINDOWS\system32\karina.dat','');
QuarantineFile('d:\windows\system32\svchost.exe','');
QuarantineFile('D:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('D:\WINDOWS\System32\drivers\Winek12.sys','');
QuarantineFile('C:\WINDOWS\system32:lzx32.sys:$DATA','');
QuarantineFile('d:\windows\system32\lphce5wj0e35n.exe','');
QuarantineFile('d:\windows\system32\buritos.exe','');
QuarantineFile('D:\WINDOWS\system32\ansit.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('D:\WINDOWS\system32\wkuu742.exe','');
DeleteService('Alerterseclogon');
DeleteService('AlerterSENS');
DeleteService('ALGUPS');
DeleteService('DcomLaunchAlerterSENS');
DeleteService('DnscacheMSIServer');
DeleteService('EventlogDnscache');
DeleteService('FastUserSwitchingCompatibilityHTTPFilterwinmgmt');
DeleteService('FastUserSwitchingCompatibilityWmiApSrv');
DeleteService('HTTPFilterwinmgmt');
DeleteService('HTTPFilterwinmgmtVSS');
DeleteService('ImapiServiceBITS');
DeleteService('ImapiServiceSENS');
DeleteService('NetmanNetDDE');
DeleteService('Nlasrservice');
DeleteService('PolicyAgentHidServ');
DeleteService('RasManClipSrv');
DeleteService('RDSessMgrSCardSvr');
DeleteService('RpcSsTermService');
DeleteService('seclogon Smart');
DeleteService('ShellHWDetectionwscsvc');
DeleteService('srserviceW32Time');
DeleteService('srserviceW32TimeW32Time');
DeleteService('SSDPSRVmnmsrvc');
DeleteService('SwPrvAVP');
DeleteService('TapiSrvThemes');
DeleteService('ThemesSharedAccess');
DeleteService('TlntSvrstisvc');
DeleteService('upnphostPolicyAgent');
DeleteService('upnphostwinmgmtUPS');
DeleteService('winmgmtUPS');
DeleteService('winmgmtUPSNla');
DeleteService('WmiApSrvhelpsvc');
DeleteService('WmiApSrvhelpsvcSpooler');
DeleteService('WmiApSrvWZCSVC');
DeleteService('WZCSVCFastUserSwitchingCompatibility');
DeleteService('WZCSVCwinmgmt');
DeleteService('Swk70');
DeleteService('tcpsr');
DeleteService('WDICA');
DeleteService('Winac11');
DeleteService('Winae80');
DeleteService('Winbd13');
DeleteService('Winbg23');
DeleteService('Winbn34');
DeleteService('Wincp78');
DeleteService('Wincy01');
DeleteService('Windy01');
DeleteService('Windy21');
DeleteService('Windy67');
DeleteService('Winey13');
DeleteService('Winfi02');
DeleteService('Wingc80');
DeleteService('Winim70');
DeleteService('Winin45');
DeleteService('Winis00');
DeleteService('Winjm71');
DeleteService('Winkt22');
DeleteService('Winlr81');
DeleteService('Winme33');
DeleteService('Winmm67');
DeleteService('Winoc57');
DeleteService('Winod23');
DeleteService('Winox80');
DeleteService('Winqe87');
DeleteService('Winqj12');
DeleteService('Winql23');
DeleteService('Winrf26');
DeleteService('Winrn57');
DeleteService('Winti43');
DeleteService('Winub24');
DeleteService('Winui22');
DeleteService('Winwq11');
DeleteService('Winws88');
DeleteService('Winyc68');
DeleteFile('d:\windows\system32\buritos.exe');
DeleteFile('d:\windows\system32\lphce5wj0e35n.exe');
DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
DeleteFile('D:\WINDOWS\System32\drivers\Winek12.sys');
DeleteFile('D:\WINDOWS\system32\_scui.cpl');
DeleteFile('D:\WINDOWS\system32\kdmim.exe');
DeleteFile('D:\WINDOWS\system32\karina.dat');
DeleteFile('D:\WINDOWS\system32\buritos.exe');
DeleteFile('D:\WINDOWS\system32\blphce5wj0e35n.scr');
DeleteFile('D:\WINDOWS\services.exe');
DeleteFile('D:\Program Files\XPSecurityCenter\xpsecuritycenter.exe');
DeleteFile('D:\WINDOWS\system32\wkuu742.exe');
DeleteFile('D:\WINDOWS\system32\ansit.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\Swk70.sys');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Alerterseclogon');
BC_DeleteSvc('AlerterSENS');
BC_DeleteSvc('ALGUPS');
BC_DeleteSvc('DcomLaunchAlerterSENS');
BC_DeleteSvc('DnscacheMSIServer');
BC_DeleteSvc('EventlogDnscache');
BC_DeleteSvc('FastUserSwitchingCompatibilityHTTPFilterwinmgmt');
BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrv');
BC_DeleteSvc('HTTPFilterwinmgmt');
BC_DeleteSvc('HTTPFilterwinmgmtVSS');
BC_DeleteSvc('ImapiServiceBITS');
BC_DeleteSvc('ImapiServiceSENS');
BC_DeleteSvc('NetmanNetDDE');
BC_DeleteSvc('Nlasrservice');
BC_DeleteSvc('PolicyAgentHidServ');
BC_DeleteSvc('RasManClipSrv');
BC_DeleteSvc('RDSessMgrSCardSvr');
BC_DeleteSvc('RpcSsTermService');
BC_DeleteSvc('seclogon Smart');
BC_DeleteSvc('ShellHWDetectionwscsvc');
BC_DeleteSvc('srserviceW32Time');
BC_DeleteSvc('srserviceW32TimeW32Time');
BC_DeleteSvc('SSDPSRVmnmsrvc');
BC_DeleteSvc('SwPrvAVP');
BC_DeleteSvc('TapiSrvThemes');
BC_DeleteSvc('ThemesSharedAccess');
BC_DeleteSvc('TlntSvrstisvc');
BC_DeleteSvc('upnphostPolicyAgent');
BC_DeleteSvc('upnphostwinmgmtUPS');
BC_DeleteSvc('winmgmtUPS');
BC_DeleteSvc('winmgmtUPSNla');
BC_DeleteSvc('WmiApSrvhelpsvc');
BC_DeleteSvc('WmiApSrvhelpsvcSpooler');
BC_DeleteSvc('WmiApSrvWZCSVC');
BC_DeleteSvc('WZCSVCFastUserSwitchingCompatibility');
BC_DeleteSvc('WZCSVCwinmgmt');
BC_DeleteSvc('Swk70');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('WDICA');
BC_DeleteSvc('Winac11');
BC_DeleteSvc('Winae80');
BC_DeleteSvc('Winbd13');
BC_DeleteSvc('Winbg23');
BC_DeleteSvc('Winbn34');
BC_DeleteSvc('Wincp78');
BC_DeleteSvc('Wincy01');
BC_DeleteSvc('Windy01');
BC_DeleteSvc('Windy21');
BC_DeleteSvc('Windy67');
BC_DeleteSvc('Winey13');
BC_DeleteSvc('Winfi02');
BC_DeleteSvc('Wingc80');
BC_DeleteSvc('Winim70');
BC_DeleteSvc('Winin45');
BC_DeleteSvc('Winis00');
BC_DeleteSvc('Winjm71');
BC_DeleteSvc('Winkt22');
BC_DeleteSvc('Winlr81');
BC_DeleteSvc('Winme33');
BC_DeleteSvc('Winmm67');
BC_DeleteSvc('Winoc57');
BC_DeleteSvc('Winod23');
BC_DeleteSvc('Winox80');
BC_DeleteSvc('Winqe87');
BC_DeleteSvc('Winqj12');
BC_DeleteSvc('Winql23');
BC_DeleteSvc('Winrf26');
BC_DeleteSvc('Winrn57');
BC_DeleteSvc('Winti43');
BC_DeleteSvc('Winub24');
BC_DeleteSvc('Winui22');
BC_DeleteSvc('Winwq11');
BC_DeleteSvc('Winws88');
BC_DeleteSvc('Winyc68');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Все сделал. Вот новые логи. Только касперский все равно не запускается.
Вложения
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Beep', 4);
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\WINDOWS\system32\karina.dat','');
QuarantineFile('D:\WINDOWS\System32\drivers\Winpd45.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Wingt56.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Windj80.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Winbg32.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Winap56.sys','');
QuarantineFile('D:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('d:\windows\buritos.exe','');
DeleteService('Winwd67');
DeleteService('Winpd45');
DeleteService('Winot01');
DeleteService('Wingt56');
DeleteService('Windj80');
DeleteService('Winbg32');
DeleteService('Winap56');
DeleteService('WZCSVCFastUserSwitchingCompatibilityAudioSrv');
DeleteService('WmiApSrvSchedule');
DeleteService('WebClientSwPrv');
DeleteService('seclogonShellHWDetection');
DeleteService('ImapiServiceBITSFastUserSwitchingCompatibility');
DeleteService('HTTPFilterwinmgmtVSSSCardSvr');
DeleteService('HidServmnmsrvc');
DeleteService('FirebirdGuardianDefaultInstancewinmgmtUPS');
DeleteFile('d:\windows\buritos.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('D:\WINDOWS\System32\drivers\Winap56.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Winbg32.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Windj80.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Wingt56.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Winot01.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Winpd45.sys');
DeleteFile('D:\WINDOWS\System32\drivers\Winwd67.sys');
DeleteFile('D:\WINDOWS\system32\karina.dat');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winwd67');
BC_DeleteSvc('Winpd45');
BC_DeleteSvc('Winot01');
BC_DeleteSvc('Wingt56');
BC_DeleteSvc('Windj80');
BC_DeleteSvc('Winbg32');
BC_DeleteSvc('Winap56');
BC_DeleteSvc('WZCSVCFastUserSwitchingCompatibilityAudioSrv');
BC_DeleteSvc('WmiApSrvSchedule');
BC_DeleteSvc('WebClientSwPrv');
BC_DeleteSvc('seclogonShellHWDetection');
BC_DeleteSvc('ImapiServiceBITSFastUserSwitchingCompatibility');
BC_DeleteSvc('HTTPFilterwinmgmtVSSSCardSvr');
BC_DeleteSvc('HidServmnmsrvc');
BC_DeleteSvc('FirebirdGuardianDefaultInstancewinmgmtUPS');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Вложения
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [buritos] buritos.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{027E0BF5-0620-487B-93FD-0F0B60BBD41E}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{05E524AC-85DD-4BC9-9F0E-9634D23BDA22}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{752A1660-E1BD-41CD-A1DB-B1D8A504FC4F}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{832236FA-3834-453D-9DE9-4924C3500ABC}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{955D43C4-904A-42C5-85FD-C0BABC32FEEB}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCAF552E-3087-4B8E-86DC-D51C5F7FE6C1}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEAF50B5-E7B0-4BDC-8C49-CABE6756D720}: NameServer = 85.255.115.115,85.255.112.231
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.115 85.255.112.231
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\buritos.exe','');
DeleteService('Dnscacheose');
DeleteFile('d:\windows\system32\buritos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Dnscacheose');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Спасибо! Значок в правом нижнем углу убрался, но касперский все еще не запускается. Вот логи!
Вложения
Откройте редактор реестра, пройдите в папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в ключе System удалите значение kdmim.exe , закройте редактор реестра.
Касперского возможно придется переустановить.
Кроме того - есть версия 2009, ключ от 7-ки подходит.
Junior Member
Вес репутации
58
Большое спасибо! Все теперь работает нормально. С уважением!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 44 В ходе лечения обнаружены вредоносные программы:
d:\\windows\\system32\\buritos.exe - Trojan-Downloader.Win32.Agent.aari (DrWEB: Trojan.Fakealert.1071) \\swk70.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm) \\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225) \\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225) \\winek12.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)