Помогите пожалуйста....компьютер директора(он сегодня злой). поймал гадость какую-то.
Помогите пожалуйста....компьютер директора(он сегодня злой). поймал гадость какую-то.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Nty38.sys C:\WINDOWS\System32\drivers\Winfl30.sys C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [lphcjwlj0ee31] C:\WINDOWS\system32\lphcjwlj0ee31.exe O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\alexey\LOCALS~1\Temp\loader.exe" /r
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\alexey\LOCALS~1\Temp\scan.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty38.sys',''); QuarantineFile('C:\DOCUME~1\alexey\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\system32\lphcjwlj0ee31.exe',''); QuarantineFile('C:\WINDOWS\system32\oembios.exe',''); QuarantineFile('c:\docume~1\alexey\locals~1\temp\scan.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2052111302-789336058-725345543-1123\Dc1812.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winfl30.sys',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\Program Files\Microsoft Common\wuauclt.exe',''); DeleteService('Nty38'); DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Winfl30.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-2052111302-789336058-725345543-1123\Dc1812.exe'); DeleteFile('c:\docume~1\alexey\locals~1\temp\scan.exe'); DeleteFile('C:\WINDOWS\system32\oembios.exe'); DeleteFile('C:\WINDOWS\system32\lphcjwlj0ee31.exe'); DeleteFile('C:\WINDOWS\system32\blphcjwlj0ee31.scr'); DeleteFile('C:\DOCUME~1\alexey\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty38.sys'); DeleteFile('C:\DOCUME~1\alexey\LOCALS~1\Temp\scan.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Nty38'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
нашел только 2 файла и удалил
(C:\WINDOWS\System32\drivers\Winfl30.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll)
проделал скрипты и после перезагрузки пропал рабочий стол. пишет, что не найден файл explorer.exe(при запуске вручную). хотя в папке windows он есть. высылаю логи. отправил карантин.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\Winxe41.sys',''); DeleteService('Winxe41'); DeleteFile('C:\WINDOWS\system32\drivers\Winxe41.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winxe41'); executerepair(1); executerepair(5); executerepair(8); executerepair(16); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
все получилось. спасибо. никаких признаков инородных тел не обнаружено.
только в понедельник. сегодня не имею доступ к компу
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\microsoft common\\wuauclt.exe - Worm.Win32.AutoRun.mdu (DrWEB: Win32.HLLW.Autoruner.2661)
- c:\\recycler\\s-1-5-21-2052111302-789336058-725345543-1123\\dc1812.exe - Trojan.Win32.Agent.ypm (DrWEB: Trojan.DownLoad.2077)
- c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.wh (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\drivers\\winfl30.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) Rain, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.