Вирусы!!

**Scaramanga** · 08.09.2008, 15:58

Ситуация такая, было приличное кол-во вирусов, один из них выводил в трее сообщение о spyware, плюс ко всему не запускался не один Exe-шник не только уже установленных программ, но и того же avz с флэшки, каспер ничего не нашел, и только cureit сумел как то восстановить работоспособность системы. Но тормоза все равно есть. Ниже логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 08.09.2008, 16:04

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\WinCtrl32.dll
C:\WINDOWS\System32\WinCtrl32.bak
C:\WINDOWS\System32\WinCtrl32.dl_

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\karina.dat','');
 QuarantineFile('C:\WINDOWS\System32\buritos.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winkp61.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winej04.sys','');
  QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\WINDOWS\system32\lphcacjj0egfg.exe','');
 QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
 DeleteService('Winkp61');
 DeleteService('Winej04');
 DeleteFile('C:\WINDOWS\system32\_scui.cpl');
 DeleteFile('C:\WINDOWS\system32\lphcacjj0egfg.exe');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Winej04.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winkp61.sys');
 DeleteFile('C:\WINDOWS\System32\buritos.exe');
 DeleteFile('C:\WINDOWS\System32\karina.dat');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winkp61');
BC_DeleteSvc('Winej04');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**Scaramanga** · 08.09.2008, 17:04

Файлов в system32 папке не оказалось, все остальное высылаю

**Rene-gad** · 08.09.2008, 17:12

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide
O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe','');
 DeleteFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.