+ неотображаются скрытые файлы и папки, второй скрипт выполнить не могу, постоянно вылетает синий экран и какждый раз ссылки на разые файлы...
+ неотображаются скрытые файлы и папки, второй скрипт выполнить не могу, постоянно вылетает синий экран и какждый раз ссылки на разые файлы...
Последний раз редактировалось scorpionich; 08.11.2008 в 11:23.
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantineКод:C:\WINDOWS.0\system32\WinCtrl32.dll C:\WINDOWS.0\system32\WinCtrl32.bak C:\WINDOWS.0\system32\WinCtrl32.dl_ C:\WINDOWS.0\System32\Drivers\Winnt06.sys C:\WINDOWS.0\System32\Drivers\Windj38.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('F:\3wcxx91.cmd',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('D:\3wcxx91.cmd',''); QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winnt06.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windj38.sys',''); QuarantineFile('C:\WINDOWS.0\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS.0\system32\blphclomj0enl3.scr',''); QuarantineFile('C:\WINDOWS.0\system32\amvo1.dll',''); QuarantineFile('c:\windows.0\system32\amvo0.dll',''); QuarantineFile('C:\WINDOWS.0\system32\amvo.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\3wcxx91.cmd',''); DeleteService('xmlprovWmdmPmSN'); DeleteService('xmlprovSchedule'); DeleteService('xmlprovlanmanserver'); DeleteService('WZCSVCSamSs'); DeleteService('WZCSVCDcomLaunch'); DeleteService('WmiApSrvAlerterAlerter'); DeleteService('WmiAlerterAlerter'); DeleteService('Winnt06'); DeleteService('Windj38'); DeleteService('UPSAutodeskTrkWksNetDDE'); DeleteService('TrkWksNetDDE'); DeleteService('TlntSvrImapiServiceseclogonWmi'); DeleteService('TlntSvrImapiService'); DeleteService('TlntSvrClipSrvNetlogon'); DeleteService('TapiSrvW32Time'); DeleteService('SPIDERNTSENS'); DeleteService('seclogonWmi'); DeleteService('ScheduleERSvc'); DeleteService('RpcSsMessengerImapiService'); DeleteService('RpcSsMessenger'); DeleteService('RpcLocatorwscsvc'); DeleteService('NVSvcWmiApSrvAlerterAlerter'); DeleteService('NtLmSspNVSvc'); DeleteService('Nlastisvc'); DeleteService('NetDDExmlprov'); DeleteService('MSDTCSpooler'); DeleteService('LmHostsBITSFastUserSwitchingCompatibility'); DeleteService('LmHostsBITS'); DeleteService('HidServRDSessMgr'); DeleteService('EventSystemClipSrvNetlogon'); DeleteService('dmserverSysmonLog'); DeleteService('DcomLaunchRemoteAccess'); DeleteService('COMSysAppNtLmSspAlerterAlerter'); DeleteService('COMSysAppNtLmSsp'); DeleteService('ClipSrvNetlogon'); DeleteService('CiSvcSENS'); DeleteService('BITSScheduleDcomLaunchAutodeskTrkWksNetDDE'); DeleteService('BITSScheduleDcomLaunch'); DeleteService('BITSSchedule'); DeleteService('AutodeskTrkWksNetDDE'); DeleteService('aspnet_stateNtLmSsp'); DeleteService('AppMgmtEventSystemClipSrvNetlogon'); DeleteService('ALGLmHostsBITSRasAuto'); DeleteService('ALGLmHostsBITS'); DeleteService('AlerterAlerter'); DeleteFile('WinCtrl32.dll'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\3wcxx91.cmd'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\3wcxx91.cmd'); DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS.0\system32\Drivers\Winnt06.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Windj38.sys'); DeleteFile('C:\WINDOWS.0\system32\cssrss.exe'); DeleteFile('C:\WINDOWS.0\system32\blphclomj0enl3.scr'); DeleteFile('C:\WINDOWS.0\system32\amvo1.dll'); DeleteFile('C:\WINDOWS.0\system32\amvo0.dll'); DeleteFile('C:\WINDOWS.0\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\3wcxx91.cmd'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('xmlprovWmdmPmSN'); BC_DeleteSvc('xmlprovSchedule'); BC_DeleteSvc('xmlprovlanmanserver'); BC_DeleteSvc('WZCSVCSamSs'); BC_DeleteSvc('WZCSVCDcomLaunch'); BC_DeleteSvc('WmiApSrvAlerterAlerter'); BC_DeleteSvc('WmiAlerterAlerter'); BC_DeleteSvc('Winnt06'); BC_DeleteSvc('Windj38'); BC_DeleteSvc('UPSAutodeskTrkWksNetDDE'); BC_DeleteSvc('TrkWksNetDDE'); BC_DeleteSvc('TlntSvrImapiServiceseclogonWmi'); BC_DeleteSvc('TlntSvrImapiService'); BC_DeleteSvc('TlntSvrClipSrvNetlogon'); BC_DeleteSvc('TapiSrvW32Time'); BC_DeleteSvc('SPIDERNTSENS'); BC_DeleteSvc('seclogonWmi'); BC_DeleteSvc('ScheduleERSvc'); BC_DeleteSvc('RpcSsMessengerImapiService'); BC_DeleteSvc('RpcSsMessenger'); BC_DeleteSvc('RpcLocatorwscsvc'); BC_DeleteSvc('NVSvcWmiApSrvAlerterAlerter'); BC_DeleteSvc('NtLmSspNVSvc'); BC_DeleteSvc('Nlastisvc'); BC_DeleteSvc('NetDDExmlprov'); BC_DeleteSvc('MSDTCSpooler'); BC_DeleteSvc('LmHostsBITSFastUserSwitchingCompatibility'); BC_DeleteSvc('LmHostsBITS'); BC_DeleteSvc('HidServRDSessMgr'); BC_DeleteSvc('EventSystemClipSrvNetlogon'); BC_DeleteSvc('dmserverSysmonLog'); BC_DeleteSvc('DcomLaunchRemoteAccess'); BC_DeleteSvc('COMSysAppNtLmSspAlerterAlerter'); BC_DeleteSvc('COMSysAppNtLmSsp'); BC_DeleteSvc('ClipSrvNetlogon'); BC_DeleteSvc('CiSvcSENS'); BC_DeleteSvc('BITSScheduleDcomLaunchAutodeskTrkWksNetDDE'); BC_DeleteSvc('BITSScheduleDcomLaunch'); BC_DeleteSvc('BITSSchedule'); BC_DeleteSvc('AutodeskTrkWksNetDDE'); BC_DeleteSvc('aspnet_stateNtLmSsp'); BC_DeleteSvc('AppMgmtEventSystemClipSrvNetlogon'); BC_DeleteSvc('ALGLmHostsBITSRasAuto'); BC_DeleteSvc('ALGLmHostsBITS'); BC_DeleteSvc('AlerterAlerter'); executerepair(6); executerepair(8); executerepair(9); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
повторяю
обновить базы нет возможности на том компютере
Последний раз редактировалось scorpionich; 27.11.2008 в 07:23.
Есть: http://z-oleg.com/secur/avz_up/avzbase.zip Скачиваем, распаковываем в папку ..\avz\base.
Добавлено через 3 минуты
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('TrkWkswuauserv'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('TrkWkswuauserv'); executerepair(2); executerepair(3); executerepair(4); executerepair(5); executerepair(14); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 26.09.2008 в 18:52. Причина: Добавлено
повторяю
Последний раз редактировалось scorpionich; 27.11.2008 в 07:23.
Ничего зловредного в логах нет.
Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\
Уважаемый(ая) scorpionich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.