Svchost спам

[po3]

Ноут от Тошибы. WinXP SP3\Symantec 10.2 Svchost.exe рассылает спам. Были попытки само лечения. Заранее спасибо.

[Rene-gad]

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\drivers\Wingp32.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_

Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd18.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqx18.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windl30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi53.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Wingp32.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteService('Winvd18');
 DeleteService('Winqx18');
 DeleteService('Windl30');
 DeleteService('Winbi53');
 DeleteService('Wingp32');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbi53.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windl30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqx18.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvd18.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wingp32.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winvd18');
BC_DeleteSvc('Winqx18');
BC_DeleteSvc('Windl30');
BC_DeleteSvc('Winbi53');
BC_DeleteSvc('Wingp32');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

[po3]

C:\WINDOWS\system32\WinCtrl32.dl_ - отсутствовал.
В карантин ни чего не попало.
В системе появилось "Неизвестное устройство"

Svchost вроде перестал рассылать спам!

[Rene-gad]

-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('ImapiServicesrservice');
 BC_DeleteSvc('Dot3svcNetTcpPortSharing');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

[po3]

В карантин ни чего не попало.
В системе все еще присутствует "Неизвестное устройство"
Svchost вроде перестал рассылать спам!

[Rene-gad]

В логах ничего подозрительного

В системе все еще присутствует "Неизвестное устройство"

Ну так удалите его. Или хотите, чтобы я приехал и удалил?

[po3]

В логах ничего подозрительного

Ну так удалите его. Или хотите, чтобы я приехал и удалил?

Да я это так в дагонку , вдруг это важно)

Спасибо за помощь.