Вирусы

[Asya]

Добрый день, хэлперы!

На офисном компьютере появляется "синий экран смерти", медленно работает ПК, подвисает. Антивирусники находят вирусы "twext.exe", "Trojan.PWS.bebu.origin", которые не могут быть вылечены, и другие вирусы. Переустановить систему нельзя, т.к. используются платные рабочие программы. Попытка установить новый антивирус безуспешна, базы не обновляются.

Очень прошу помочь.
С уважением, Анастасия

[pig]

Внимательно прочитать, аккуратно выполнить.

[Asya]

Pig, я вроде бы все внимательно прочитала. Архив и логи прикрепила. Что не так? Можно конкретнее?

[pig]

Теперь нормально, зовём хелперов.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msansspc.dll','');
 QuarantineFile('C:\WINDOWS\pkdiftam.exe','');
 QuarantineFile('C:\WINDOWS\jzbbjzbb.exe','');
 DeleteService('Winxs63');
 DeleteService('Winxd63');
 DeleteService('Winwr58');
 DeleteService('Winvb30');
 DeleteService('Winua06');
 DeleteService('Winrr41');
 DeleteService('Winqb47');
 DeleteService('Winpf14');
 DeleteService('Winns28');
 DeleteService('Winmw74');
 DeleteService('Winhc63');
 DeleteService('Wineo22');
 DeleteService('Winap63');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxs63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwr58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winua06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb47.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpf14.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winns28.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmw74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhc63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wineo22.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winap63.sys','');
 DeleteService('OOSOQRVW');
 DeleteService('wscsvcvsmon');
 DeleteService('WMPNetworkSvcWudfSvcNetlogon');
 DeleteService('WMPNetworkSvcWudfSvc');
 DeleteService('WmdmPmSNBrowser');
 DeleteService('W32TimeWmdmPmSN');
 DeleteService('ThemesWmdmPmSNBrowser');
 DeleteService('TermServiceRasMan');
 DeleteService('TapiSrvRpcLocator');
 DeleteService('SysmonLogShellHWDetection');
 DeleteService('srserviceNtLmSsp');
 DeleteService('SENSsrserviceNtLmSsp');
 DeleteService('RSVPLmHosts');
 DeleteService('RpcLocatorSamSs');
 DeleteService('RemoteAccessNetlogon');
 DeleteService('RasAutoSpooler');
 DeleteService('NetmanRDSessMgr');
 DeleteService('MDMwuauservwuauserv');
 DeleteService('MDMwuauservHTTPFilter');
 DeleteService('FastUserSwitchingCompatibilityWMPNetworkSvcWudfSvc');
 DeleteService('EpsonBidirectionalServiceImapiService');
 DeleteService('DnscacheCOMSysApp');
 DeleteService('CiSvcWmiApSrvHTTPFilter');
 DeleteService('CiSvcWmiApSrv');
 QuarantineFile('C:\WINDOWS\system32\drivers\OOSOQRVW.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\OOSOQRVW.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winap63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wineo22.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhc63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmw74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpf14.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqb47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrr41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winua06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwr58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxd63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxs63.sys');
 DeleteFile('C:\WINDOWS\jzbbjzbb.exe');
 DeleteFile('C:\WINDOWS\pkdiftam.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('msansspc.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Asya]

Здравствуйте, хэлперы!

Пишу продолжение темы "Вирусы". Скрипты, предложенные Вами, выполнила. Программа CureIt! также нашла Trojan.PWS.Bebu.origin, который не лечится и др. Все проверки, предложенные Pig, сделала, высылаю Вам. Не поняла, как отметить файлы, которые нужно выслать; папка "Карантин" почему-то оказалась пустой, выбрала "автодобавление", далее - "все программы и службы", все отметила галочкой.

Очень рассчитываю на то, что Вы сможете помочь.

[Asya]

Хэлперы, здравствуйте!

К сожалению, пока не получила ответа на свой вопрос. Очень рассчитываю на Вашу помощь!!!

[Гриша]

Пофиксить

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('OOSOQRVW');
 DeleteService('wscsvcvsmon');
 DeleteService('WMPNetworkSvcWudfSvcNetlogon');
 DeleteService('WMPNetworkSvcWudfSvc');
 DeleteService('WmdmPmSNBrowser');
 DeleteService('W32TimeWmdmPmSN');
 DeleteService('ThemesWmdmPmSNBrowser');
 DeleteService('TermServiceRasMan');
 DeleteService('SysmonLogShellHWDetection');
 DeleteService('srserviceNtLmSsp');
 DeleteService('SENSsrserviceNtLmSsp');
 DeleteService('RSVPLmHosts');
 DeleteService('RpcLocatorSamSs');
 DeleteService('RemoteAccessNetlogon');
 DeleteService('RasAutoSpooler');
 DeleteService('NetmanRDSessMgr');
 DeleteService('MDMwuauservwuauserv');
 DeleteService('MDMwuauservHTTPFilter');
 DeleteService('MDMwuauserv');
 DeleteService('FastUserSwitchingCompatibilityWMPNetworkSvcWudfSvc');
 DeleteService('EpsonBidirectionalServiceImapiService');
 DeleteService('DnscacheCOMSysApp');
 DeleteService('CiSvcWmiApSrvHTTPFilter');
 DeleteService('CiSvcWmiApSrv');
 DeleteFile('C:\WINDOWS\system32\drivers\OOSOQRVW.sys');
BC_ImportALL;  
ExecuteSysClean;
 BC_DeleteSvc('OOSOQRVW');
 BC_DeleteSvc('wscsvcvsmon');
 BC_DeleteSvc('WMPNetworkSvcWudfSvcNetlogon');
 BC_DeleteSvc('WMPNetworkSvcWudfSvc');
 BC_DeleteSvc('WmdmPmSNBrowser');
 BC_DeleteSvc('W32TimeWmdmPmSN');
 BC_DeleteSvc('ThemesWmdmPmSNBrowser');
 BC_DeleteSvc('TermServiceRasMan');
 BC_DeleteSvc('SysmonLogShellHWDetection');
 BC_DeleteSvc('srserviceNtLmSsp');
 BC_DeleteSvc('SENSsrserviceNtLmSsp');
 BC_DeleteSvc('RSVPLmHosts');
 BC_DeleteSvc('RpcLocatorSamSs');
 BC_DeleteSvc('RemoteAccessNetlogon');
 BC_DeleteSvc('RasAutoSpooler');
 BC_DeleteSvc('NetmanRDSessMgr');
 BC_DeleteSvc('MDMwuauservwuauserv');
 BC_DeleteSvc('MDMwuauservHTTPFilter');
 BC_DeleteSvc('MDMwuauserv');
 BC_DeleteSvc('FastUserSwitchingCompatibilityWMPNetworkSvcWudfSvc');
 BC_DeleteSvc('EpsonBidirectionalServiceImapiService');
 BC_DeleteSvc('DnscacheCOMSysApp');
 BC_DeleteSvc('CiSvcWmiApSrvHTTPFilter');
 BC_DeleteSvc('CiSvcWmiApSrv');
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[Asya]

Добрый день!
Выполнила все, Как сказал Гриша. После того, как выполнила скрипт в AVZ, ПК перегрузился, появился пустой синий экран и стрелочка мышки. Опять не поняла, как отметить файлы, которые нужно выслать; папка "Карантин" почему-то оказалась пустой, выбрала "автодобавление", далее - "все программы и службы", все отметила галочкой. Высылаю логи.

Жду ответа.
С уважением, Asya

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;    
 DeleteService('TapiSrvRpcLocator');
ExecuteSysClean;
BC_DeleteSvc('TapiSrvRpcLocator');    
BC_Activate;
RebootWindows(true);
end.

Жалобы есть?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 14
• В ходе лечения вредоносные программы в карантинах не обнаружены