Вручную и с помощью антивирусов NOD32, Ad-aware, Avast удалить не удается-восстанавливает себя после перезагрузки.
Вручную и с помощью антивирусов NOD32, Ad-aware, Avast удалить не удается-восстанавливает себя после перезагрузки.
Скачать IceSword.
В нем найти и удалить при помощи force delete:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winmu64.sys
Далее напишу скрипт для удаления всего остального, если Рене не опередит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\system32\Drivers\Winmu64.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winag06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winah31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winai31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh07.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windj52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windk28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winem63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq20.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjq52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjr64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winls20.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winls74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winou75.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winov17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winov74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy85.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winrh41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winry31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintc86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc20.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg18.sys',''); DeleteService('Winmu64'); DeleteService('Winag06'); DeleteService('Winah31'); DeleteService('Winai31'); DeleteService('Winbh07'); DeleteService('Windj52'); DeleteService('Windk28'); DeleteService('Winem63'); DeleteService('Winfm86'); DeleteService('Winiq20'); DeleteService('Winjq52'); DeleteService('Winjr64'); DeleteService('Winkq28'); DeleteService('Winkr52'); DeleteService('Winls20'); DeleteService('Winls74'); DeleteService('Winmt30'); DeleteService('Winnu06'); DeleteService('Winou75'); DeleteService('Winov17'); DeleteService('Winov74'); DeleteService('Winpw41'); DeleteService('Winpw53'); DeleteService('Winpw86'); DeleteService('Winqw28'); DeleteService('Winqy85'); DeleteService('Winrh41'); DeleteService('Winry31'); DeleteService('Winsa85'); DeleteService('Winta52'); DeleteService('Wintb30'); DeleteService('Wintb53'); DeleteService('Wintc86'); DeleteService('Winuc20'); DeleteService('Winuc74'); DeleteService('Winvd63'); DeleteService('Winvd85'); DeleteService('Winwe06'); DeleteService('Winwe28'); DeleteService('Winwe30'); DeleteService('Winwe41'); DeleteService('Winxf30'); DeleteService('Winyg18'); DeleteService('ALGEhttpSrv'); DeleteService('AppMgmtRasAutoxmlprov'); DeleteService('AudioSrvNtLmSsp'); DeleteService('AudioSrvWmiApSrv'); DeleteService('BrowserTrkWks'); DeleteService('CiSvcHTTPFilter'); DeleteService('CiSvcHTTPFilterThemes'); DeleteService('CiSvcWmiIrmon'); DeleteService('ClipSrvEventSystem'); DeleteService('ClipSrvPolicyAgent'); DeleteService('ClipSrvPolicyAgentSysmonLogaspnet_state'); DeleteService('clr_optimization_v2.0.50727_32WmdmPmSN'); DeleteService('DhcpWmdmPmSN'); DeleteService('EhttpSrvSwPrv'); DeleteService('EhttpSrvSwPrvNetman'); DeleteService('EhttpSrvSwPrvNetmangusvc'); DeleteService('EhttpSrvSwPrvstisvc'); DeleteService('EhttpSrvSysmonLogaspnet_state'); DeleteService('EhttpSrvSysmonLogaspnet_state Intelligent Application Manager (IAM)'); DeleteService('ERSvcSCardSvr'); DeleteService('EventSystemSysmonLog'); DeleteService('ForcewareWebInterfaceHidServRSVP'); DeleteService('gusvcHidServRSVP'); DeleteService('HidServclr_optimization_v2.0.50727_32'); DeleteService('HidServRSVP'); DeleteService('HTTPFilterRpcSsCCALib8CiSvcWmiIrmon'); DeleteService('HTTPFilterRpcSsCCALib8CiSvcWmiIrmonRemoteAccess'); DeleteService('mnmsrvcALG'); DeleteService('MSDTC Intelligent Application Manager (IAM)'); DeleteService('MSDTClanmanserver'); DeleteService('MSDTClanmanserverDcomLaunch'); DeleteService('NetDDEdsdmupnphost'); DeleteService('NetDDERasAutoekrn'); DeleteService('NetlogonForcewareWebInterface'); DeleteService('NlaNetlogon'); DeleteService('NtmsSvcCiSvcHTTPFilter'); DeleteService('RasAutoekrn'); DeleteService('RasAutoekrnTrkWks'); DeleteService('RasAutoekrnTrkWks LM Service'); DeleteService('RasAutoPolicyAgent'); DeleteService('RasAutoPolicyAgent Driver HPZ12'); DeleteService('RasAutoxmlprov'); DeleteService('RpcLocatorclr_optimization_v2.0.50727_32'); DeleteService('RpcLocatorclr_optimization_v2.0.50727_32ForcewareWebInterfaceHidServRSVP'); DeleteService('RpcLocatorEhttpSrvSwPrv'); DeleteService('RpcSsCCALib8'); DeleteService('RpcSsCCALib8CiSvcWmiIrmon'); DeleteService('RpcSsEhttpSrvSwPrv'); DeleteService('RpcSswuauservWudfSvcMSSQL$SONY_MEDIAMGR'); DeleteService('SENSodserv'); DeleteService('SpoolerFastUserSwitchingCompatibility'); DeleteService('SpoolerTapiSrv'); DeleteService('SQLAgent$SONY_MEDIAMGRNetman'); DeleteService('srservicegusvcHidServRSVP'); DeleteService('SysmonLogaspnet_state'); DeleteService('SysmonLogaspnet_statelanmanworkstation'); DeleteService('SysmonLogaspnet_statelanmanworkstationNetDDERasAutoekrn'); DeleteService('TapiSrvFastUserSwitchingCompatibility'); DeleteService('W32TimeEventlog'); DeleteService('WmiIrmon'); DeleteService('WMPNetworkSvcWmi'); DeleteService('wuauservWudfSvc'); DeleteService('wuauservWudfSvcMSSQL$SONY_MEDIAMGR'); DeleteService('WZCSVCERSvcSCardSvr'); DeleteService('WZCSVCTapiSrv'); DeleteService('WZCSVCTapiSrvFastUserSwitchingCompatibility'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmu64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winag06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winah31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winai31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbh07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windj52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windk28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winem63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfm86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiq20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjq52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjr64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmt30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnu06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winov17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winov74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpw41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpw53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpw86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqw28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqy85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winrh41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winry31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsa85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintb30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintb53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintc86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuc20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuc74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvd63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvd85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxf30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyg18.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_ImportAll; ExecuteSysClean;BC_DeleteSvc('Winmu64'); BC_DeleteSvc('Winag06'); BC_DeleteSvc('Winah31'); BC_DeleteSvc('Winai31'); BC_DeleteSvc('Winbh07'); BC_DeleteSvc('Windj52'); BC_DeleteSvc('Windk28'); BC_DeleteSvc('Winem63'); BC_DeleteSvc('Winfm86'); BC_DeleteSvc('Winiq20'); BC_DeleteSvc('Winjq52'); BC_DeleteSvc('Winjr64'); BC_DeleteSvc('Winkq28'); BC_DeleteSvc('Winkr52'); BC_DeleteSvc('Winls20'); BC_DeleteSvc('Winls74'); BC_DeleteSvc('Winmt30'); BC_DeleteSvc('Winnu06'); BC_DeleteSvc('Winou75'); BC_DeleteSvc('Winov17'); BC_DeleteSvc('Winov74'); BC_DeleteSvc('Winpw41'); BC_DeleteSvc('Winpw53'); BC_DeleteSvc('Winpw86'); BC_DeleteSvc('Winqw28'); BC_DeleteSvc('Winqy85'); BC_DeleteSvc('Winrh41'); BC_DeleteSvc('Winry31'); BC_DeleteSvc('Winsa85'); BC_DeleteSvc('Winta52'); BC_DeleteSvc('Wintb30'); BC_DeleteSvc('Wintb53'); BC_DeleteSvc('Wintc86'); BC_DeleteSvc('Winuc20'); BC_DeleteSvc('Winuc74'); BC_DeleteSvc('Winvd63'); BC_DeleteSvc('Winvd85'); BC_DeleteSvc('Winwe06'); BC_DeleteSvc('Winwe28'); BC_DeleteSvc('Winwe30'); BC_DeleteSvc('Winwe41'); BC_DeleteSvc('Winxf30'); BC_DeleteSvc('Winyg18'); BC_DeleteSvc('ALGEhttpSrv'); BC_DeleteSvc('AppMgmtRasAutoxmlprov'); BC_DeleteSvc('AudioSrvNtLmSsp'); BC_DeleteSvc('AudioSrvWmiApSrv'); BC_DeleteSvc('BrowserTrkWks'); BC_DeleteSvc('CiSvcHTTPFilter'); BC_DeleteSvc('CiSvcHTTPFilterThemes'); BC_DeleteSvc('CiSvcWmiIrmon'); BC_DeleteSvc('ClipSrvEventSystem'); BC_DeleteSvc('ClipSrvPolicyAgent'); BC_DeleteSvc('ClipSrvPolicyAgentSysmonLogaspnet_state'); BC_DeleteSvc('clr_optimization_v2.0.50727_32WmdmPmSN'); BC_DeleteSvc('DhcpWmdmPmSN'); BC_DeleteSvc('EhttpSrvSwPrv'); BC_DeleteSvc('EhttpSrvSwPrvNetman'); BC_DeleteSvc('EhttpSrvSwPrvNetmangusvc'); BC_DeleteSvc('EhttpSrvSwPrvstisvc'); BC_DeleteSvc('EhttpSrvSysmonLogaspnet_state'); BC_DeleteSvc('EhttpSrvSysmonLogaspnet_state Intelligent Application Manager (IAM)'); BC_DeleteSvc('ERSvcSCardSvr'); BC_DeleteSvc('EventSystemSysmonLog'); BC_DeleteSvc('ForcewareWebInterfaceHidServRSVP'); BC_DeleteSvc('gusvcHidServRSVP'); BC_DeleteSvc('HidServclr_optimization_v2.0.50727_32'); BC_DeleteSvc('HidServRSVP'); BC_DeleteSvc('HTTPFilterRpcSsCCALib8CiSvcWmiIrmon'); BC_DeleteSvc('HTTPFilterRpcSsCCALib8CiSvcWmiIrmonRemoteAccess'); BC_DeleteSvc('mnmsrvcALG'); BC_DeleteSvc('MSDTC Intelligent Application Manager (IAM)'); BC_DeleteSvc('MSDTClanmanserver'); BC_DeleteSvc('MSDTClanmanserverDcomLaunch'); BC_DeleteSvc('NetDDEdsdmupnphost'); BC_DeleteSvc('NetDDERasAutoekrn'); BC_DeleteSvc('NetlogonForcewareWebInterface'); BC_DeleteSvc('NlaNetlogon'); BC_DeleteSvc('NtmsSvcCiSvcHTTPFilter'); BC_DeleteSvc('RasAutoekrn'); BC_DeleteSvc('RasAutoekrnTrkWks'); BC_DeleteSvc('RasAutoekrnTrkWks LM Service'); BC_DeleteSvc('RasAutoPolicyAgent'); BC_DeleteSvc('RasAutoPolicyAgent Driver HPZ12'); BC_DeleteSvc('RasAutoxmlprov'); BC_DeleteSvc('RpcLocatorclr_optimization_v2.0.50727_32'); BC_DeleteSvc('RpcLocatorclr_optimization_v2.0.50727_32ForcewareWebInterfaceHidServRSVP'); BC_DeleteSvc('RpcLocatorEhttpSrvSwPrv'); BC_DeleteSvc('RpcSsCCALib8'); BC_DeleteSvc('RpcSsCCALib8CiSvcWmiIrmon'); BC_DeleteSvc('RpcSsEhttpSrvSwPrv'); BC_DeleteSvc('RpcSswuauservWudfSvcMSSQL$SONY_MEDIAMGR'); BC_DeleteSvc('SENSodserv'); BC_DeleteSvc('SpoolerFastUserSwitchingCompatibility'); BC_DeleteSvc('SpoolerTapiSrv'); BC_DeleteSvc('SQLAgent$SONY_MEDIAMGRNetman'); BC_DeleteSvc('srservicegusvcHidServRSVP'); BC_DeleteSvc('SysmonLogaspnet_state'); BC_DeleteSvc('SysmonLogaspnet_statelanmanworkstation'); BC_DeleteSvc('SysmonLogaspnet_statelanmanworkstationNetDDERasAutoekrn'); BC_DeleteSvc('TapiSrvFastUserSwitchingCompatibility'); BC_DeleteSvc('W32TimeEventlog'); BC_DeleteSvc('WmiIrmon'); BC_DeleteSvc('WMPNetworkSvcWmi'); BC_DeleteSvc('wuauservWudfSvc'); BC_DeleteSvc('wuauservWudfSvcMSSQL$SONY_MEDIAMGR'); BC_DeleteSvc('WZCSVCERSvcSCardSvr'); BC_DeleteSvc('WZCSVCTapiSrv'); BC_DeleteSvc('WZCSVCTapiSrvFastUserSwitchingCompatibility'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Простите, чуть не понял следующее:
1.Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
То есть добавить с помощью AVZ в карантин надо уже скопированные и переименованные(в "malware",как например как у вас в соответствующей теме написано) Ice sword'ом файлы?
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
У меня постоянно активно приложение "мастер нового оборудования" и соответственно висит в панели задач, если его убить,оно тот час же появляется назад. Скорее всего оно связано с деятельностью данного трояна,так как никакого такого оборудования нового нет и навязчивое очень. Пока его как-то не закрыть то все следующие шаги будут некорректными?
Спасибо за помощь.
1 да скопированные и переименованные
2 пусть остается мастер нового оборудования
новые логи.
сделал вроде все но система очень тормозит. с трудом получается перезагрузить из меню "пуск" или вызвать диспетчер задач.
Lavasoft Ad-Aware - деинсталлируйте!
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin DelWinlogonNotifyByKeyName('WinCtrl32'); BC_DeleteSvc('AlerterWmi'); BC_Activate; RebootWindows(true); end.
В системе два антивируса: NOD32 и Avast. Один из них уберите.
Последний раз редактировалось Aleksandra; 13.09.2008 в 11:10.
Сердце решает кого любить... Судьба решает с кем быть...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- i:\\2\\malware1 - Trojan-Downloader.Win32.Mutant.bgz (DrWEB: BackDoor.Bulknet.23
- i:\\2\\malware2 - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
Уважаемый(ая) Hell'hound, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.