Junior Member
Вес репутации
57
Всё было так. Лазию в инете, вдруг после перехода на какую-то страницу у меня закрывается всё, вылетает ошибка системы и перезагружется компьютер. По началу дня 2-3 после включения\загрузки Symantec писал о наличии Pandex с просьбой перезагрузки. Дня через 2 я потерял возможность включать компьютер вообще, после загрузки вылетали критические ошибки и сразу-же ребут. Дня 2 назад в списке вирусов появился и Virantix.C . Сканированеи не даёт результатов. Надеюсь на вашу помощ.
(Ещё один не приятный момент, хотя не очень важный, в трее появился кружок красный перечёркнутый, который выводится сразу после загрузки с текстом о Yor computer is infected! Как убрать это штуку.)
Последний раз редактировалось Zik0; 22.02.2010 в 11:02 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winin15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winkp48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winot05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winot37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winqv26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv83.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winty61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxd61.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva186.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe','');
QuarantineFile('C:\Program Files\WinAntispyware2008\Uninstall.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteService('Adobeusprserv');
DeleteService('AWHelpServerccSetMgrImapiService');
DeleteService('AWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
DeleteService('dmserverdmserver');
DeleteService('dmserverSysmonLog');
DeleteService('IDriverTCCALib8');
DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
DeleteService('LiveUpdatehelpsvc');
DeleteService('MicrosoftMSIServer');
DeleteService('mnmsrvcCryptSvc');
DeleteService('mnmsrvcMSIServer');
DeleteService('NetmanNtmsSvc');
DeleteService('NetmanSchedule');
DeleteService('odservmaya70docserver');
DeleteService('odservmaya70docserverose');
DeleteService('PlugPlayodserv');
DeleteService('PlugPlayTrkWks');
DeleteService('PolicyAgentThemes');
DeleteService('ProtectedStorageSCardSvr');
DeleteService('RSVPRSVP');
DeleteService('SCardSvrDnscache');
DeleteService('SCardSvrWZCSVC');
DeleteService('ShellHWDetectionNetDDEdsdm');
DeleteService('SPBBCSvcRasMan');
DeleteService('SPBBCSvcRasManidsvc');
DeleteService('ThemesTlntSvr');
DeleteService('TlntSvrRSVP');
DeleteService('TrkWksSchedule');
DeleteService('usprservhelpsvc');
DeleteService('xmlprovMicrosoftMSIServer');
DeleteService('wscsvcNetman');
DeleteService('WmiLiveUpdate');
DeleteService('XDva186');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Program Files\WinAntispyware2008\Uninstall.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\XDva186.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxd61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winty61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqv26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winot37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winot05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkp48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winin15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf04.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Adobeusprserv');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('dmserverdmserver');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('MicrosoftMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PolicyAgentThemes');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('TlntSvrRSVP');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('xmlprovMicrosoftMSIServer');
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('XDva186');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Всё сделал как вы сказали. Наконец-то при перезагрузки у меня не было ребута и усчезла эта икона с трея, за что уже спасибо . Логи в студии.
Последний раз редактировалось Zik0; 22.02.2010 в 11:02 .
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
DeleteService('wscsvcNetman');
DeleteService('Wmiusprservhelpsvc');
DeleteService('WmiLiveUpdate');
DeleteService('usprservhelpsvc');
DeleteService('TrkWksSchedule');
DeleteService('TlntSvrRSVP');
DeleteService('ThemesTlntSvr');
DeleteService('SPBBCSvcRasManidsvc');
DeleteService('SPBBCSvcRasMan');
DeleteService('ShellHWDetectionNetDDEdsdm');
DeleteService('SCardSvrWZCSVC');
DeleteService('SCardSvrDnscache');
DeleteService('RSVPRSVP');
DeleteService('ProtectedStorageSCardSvr');
DeleteService('PolicyAgentThemes');
DeleteService('PlugPlayTrkWks');
DeleteService('PlugPlayodserv');
DeleteService('odservmaya70docserverose');
DeleteService('odservmaya70docserver');
DeleteService('NetmanSchedule');
DeleteService('NetmanNtmsSvc');
DeleteService('mnmsrvcMSIServer');
DeleteService('mnmsrvcCryptSvc');
DeleteService('MicrosoftMSIServer');
DeleteService('LiveUpdatehelpsvc');
DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
DeleteService('IDriverTCCALib8');
DeleteService('dmserverSysmonLog');
DeleteService('dmserverdmserver');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiService');
DeleteService('AWHelpServerNetTcpPortSharing');
DeleteService('AWHelpServerccSetMgrImapiServiceALG');
DeleteService('AWHelpServerccSetMgrImapiService');
DeleteService('Adobeusprserv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('Wmiusprservhelpsvc');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('TlntSvrRSVP');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('PolicyAgentThemes');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('MicrosoftMSIServer');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('dmserverdmserver');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('Adobeusprserv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Всё сделано. Вот новые логи.
Вложения
Последний раз редактировалось Zik0; 22.02.2010 в 11:02 .
выполните скрипт
Код:
begin
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('Wmiusprservhelpsvc');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('WinRoute');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('ccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('Adobeusprserv');
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
57
Cкрипт выполнен. Логи тут.
Последний раз редактировалось Zik0; 22.02.2010 в 11:02 .
в safe mode выполните скрипт из поста 6 ...
затем повторите логи начиная с пунта 10 правил
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 24 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\winddl - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23 c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\windl - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23 c:\\program files\\winantispyware2008\\uninstall.exe - Trojan-Downloader.Win32.FraudLoad.vcby (DrWEB: Trojan.Fakealert.1322) c:\\windows\\system32\\braviax.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323) c:\\windows\\system32\\winivstr.exe - Trojan-Downloader.Win32.FraudLoad.vcby (DrWEB: Trojan.Fakealert.1322)