ох..."Warning! Sryware detected.."

[scorpionich]

+ неотображаются скрытые файлы и папки, второй скрипт выполнить не могу, постоянно вылетает синий экран и какждый раз ссылки на разые файлы...

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.


Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS.0\system32\WinCtrl32.dll
C:\WINDOWS.0\system32\WinCtrl32.bak
C:\WINDOWS.0\system32\WinCtrl32.dl_
C:\WINDOWS.0\System32\Drivers\Winnt06.sys
C:\WINDOWS.0\System32\Drivers\Windj38.sys

Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('F:\3wcxx91.cmd','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('D:\3wcxx91.cmd','');
 QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winnt06.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windj38.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\blphclomj0enl3.scr','');
 QuarantineFile('C:\WINDOWS.0\system32\amvo1.dll','');
 QuarantineFile('c:\windows.0\system32\amvo0.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\amvo.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\3wcxx91.cmd','');
 DeleteService('xmlprovWmdmPmSN');
 DeleteService('xmlprovSchedule');
 DeleteService('xmlprovlanmanserver');
 DeleteService('WZCSVCSamSs');
 DeleteService('WZCSVCDcomLaunch');
 DeleteService('WmiApSrvAlerterAlerter');
 DeleteService('WmiAlerterAlerter');
 DeleteService('Winnt06');
 DeleteService('Windj38');
 DeleteService('UPSAutodeskTrkWksNetDDE');
 DeleteService('TrkWksNetDDE');
 DeleteService('TlntSvrImapiServiceseclogonWmi');
 DeleteService('TlntSvrImapiService');
 DeleteService('TlntSvrClipSrvNetlogon');
 DeleteService('TapiSrvW32Time');
 DeleteService('SPIDERNTSENS');
 DeleteService('seclogonWmi');
 DeleteService('ScheduleERSvc');
 DeleteService('RpcSsMessengerImapiService');
 DeleteService('RpcSsMessenger');
 DeleteService('RpcLocatorwscsvc');
 DeleteService('NVSvcWmiApSrvAlerterAlerter');
 DeleteService('NtLmSspNVSvc');
 DeleteService('Nlastisvc');
 DeleteService('NetDDExmlprov');
 DeleteService('MSDTCSpooler');
 DeleteService('LmHostsBITSFastUserSwitchingCompatibility');
 DeleteService('LmHostsBITS');
 DeleteService('HidServRDSessMgr');
 DeleteService('EventSystemClipSrvNetlogon');
 DeleteService('dmserverSysmonLog');
 DeleteService('DcomLaunchRemoteAccess');
 DeleteService('COMSysAppNtLmSspAlerterAlerter');
 DeleteService('COMSysAppNtLmSsp');
 DeleteService('ClipSrvNetlogon');
 DeleteService('CiSvcSENS');
 DeleteService('BITSScheduleDcomLaunchAutodeskTrkWksNetDDE');
 DeleteService('BITSScheduleDcomLaunch');
 DeleteService('BITSSchedule');
 DeleteService('AutodeskTrkWksNetDDE');
 DeleteService('aspnet_stateNtLmSsp');
 DeleteService('AppMgmtEventSystemClipSrvNetlogon');
 DeleteService('ALGLmHostsBITSRasAuto');
 DeleteService('ALGLmHostsBITS');
 DeleteService('AlerterAlerter');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\3wcxx91.cmd');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\3wcxx91.cmd');
 DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS.0\system32\Drivers\Winnt06.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Windj38.sys');
 DeleteFile('C:\WINDOWS.0\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS.0\system32\blphclomj0enl3.scr');
 DeleteFile('C:\WINDOWS.0\system32\amvo1.dll');
 DeleteFile('C:\WINDOWS.0\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS.0\system32\amvo.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\3wcxx91.cmd');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('xmlprovWmdmPmSN');
 BC_DeleteSvc('xmlprovSchedule');
 BC_DeleteSvc('xmlprovlanmanserver');
 BC_DeleteSvc('WZCSVCSamSs');
 BC_DeleteSvc('WZCSVCDcomLaunch');
 BC_DeleteSvc('WmiApSrvAlerterAlerter');
 BC_DeleteSvc('WmiAlerterAlerter');
 BC_DeleteSvc('Winnt06');
 BC_DeleteSvc('Windj38');
 BC_DeleteSvc('UPSAutodeskTrkWksNetDDE');
 BC_DeleteSvc('TrkWksNetDDE');
 BC_DeleteSvc('TlntSvrImapiServiceseclogonWmi');
 BC_DeleteSvc('TlntSvrImapiService');
 BC_DeleteSvc('TlntSvrClipSrvNetlogon');
 BC_DeleteSvc('TapiSrvW32Time');
 BC_DeleteSvc('SPIDERNTSENS');
 BC_DeleteSvc('seclogonWmi');
 BC_DeleteSvc('ScheduleERSvc');
 BC_DeleteSvc('RpcSsMessengerImapiService');
 BC_DeleteSvc('RpcSsMessenger');
 BC_DeleteSvc('RpcLocatorwscsvc');
 BC_DeleteSvc('NVSvcWmiApSrvAlerterAlerter');
 BC_DeleteSvc('NtLmSspNVSvc');
 BC_DeleteSvc('Nlastisvc');
 BC_DeleteSvc('NetDDExmlprov');
 BC_DeleteSvc('MSDTCSpooler');
 BC_DeleteSvc('LmHostsBITSFastUserSwitchingCompatibility');
 BC_DeleteSvc('LmHostsBITS');
 BC_DeleteSvc('HidServRDSessMgr');
 BC_DeleteSvc('EventSystemClipSrvNetlogon');
 BC_DeleteSvc('dmserverSysmonLog');
 BC_DeleteSvc('DcomLaunchRemoteAccess');
 BC_DeleteSvc('COMSysAppNtLmSspAlerterAlerter');
 BC_DeleteSvc('COMSysAppNtLmSsp');
 BC_DeleteSvc('ClipSrvNetlogon');
 BC_DeleteSvc('CiSvcSENS');
 BC_DeleteSvc('BITSScheduleDcomLaunchAutodeskTrkWksNetDDE');
 BC_DeleteSvc('BITSScheduleDcomLaunch');
 BC_DeleteSvc('BITSSchedule');
 BC_DeleteSvc('AutodeskTrkWksNetDDE');
 BC_DeleteSvc('aspnet_stateNtLmSsp');
 BC_DeleteSvc('AppMgmtEventSystemClipSrvNetlogon');
 BC_DeleteSvc('ALGLmHostsBITSRasAuto');
 BC_DeleteSvc('ALGLmHostsBITS');
 BC_DeleteSvc('AlerterAlerter');
executerepair(6);
executerepair(8);
executerepair(9);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

[scorpionich]

повторяю
обновить базы нет возможности на том компютере

[Rene-gad]

обновить базы нет возможности на том компютере

Есть: http://z-oleg.com/secur/avz_up/avzbase.zip Скачиваем, распаковываем в папку ..\avz\base.

Добавлено через 3 минуты

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('TrkWkswuauserv');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('TrkWkswuauserv');
executerepair(2);
executerepair(3);
executerepair(4);
executerepair(5);
executerepair(14);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

[scorpionich]

повторяю

[Синауридзе Александр]

Ничего зловредного в логах нет.

Пофиксите в HijackThis:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\