Перейти к содержанию
Правила раздела

Лечим WinCtrl32, ntos.exe и прочее

Sim

От Sim
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • 2 months later...
Sim Новичок

Sim

Опубликовано
  • Автор
Опубликовано

Проблема разрешилась частично. С експлорером какие-то глюки постоянно случаются - но это пережить можно. А вот то, что мозилла перестал сохранять страницы, слегка напрягает...ну, это мелочи...установили 7ую версию - лицензию - вашего антивируса, и почти все вернулось на место...^^

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано (изменено)

Попробуйте обовиться до версии 8.0 (2009) и версию браузера до самой последней...

Изменено пользователем JIABP
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Sim

У вас целый букет, но удалить это вполне реально.

 

Качаем IceSword.

 

Прибиваем в нем:

C:\WINDOWS\System32\Drivers\Winfm52.sys

C:\WINDOWS\system32\Drivers\Hnt85.sys

C:\WINDOWS\system32\WinCtrl32.dl

 

Как это сделать?

-Запустите программу.

-Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита.

-Нажмите по нему правой кнопкой мыши и выберите force delete.

-На запрос потверждения ответьте "да".

 

 

Пофиксить в HJT:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Dmitry\pwoyaia.exe \s,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - C:\Program Files\VirtualNetwork\VirtualNetwork.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - D:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Dmitry\Google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean
O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINDOWS\System32\KernelDrv.exe clean
O4 - HKLM\..\Run: [awdr] C:\WINDOWS\system32\awdr.exe \u
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZKman000
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

 

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\Documents and Settings\Dmitry\pwoyaia.exe ');
DeleteService('AppMgmtFastUserSwitchingCompatibility');
DeleteService('AppMgmtSSDPSRV');
DeleteService('BrowserwinmgmtALG');
DeleteService('ClipSrvupnphost');
DeleteService('ClipSrvWebClient');
DeleteService('ClipSrvWebClientSSDPSRV');
DeleteService('CryptSvcLmHosts');
DeleteService('CryptSvcNetmanAppMgmt');
DeleteService('CryptSvcNetmanAppMgmtMessenger');
DeleteService('CryptSvcPlugPlayBrowser');
DeleteService('CryptSvcWebClient');
DeleteService('CryptSvcWebClientRSVPwscsvc');
DeleteService('DcomLaunchNla');
DeleteService('dmadminClipSrvWebClientSSDPSRV');
DeleteService('FastUserSwitchingCompatibilitywuauservDcomLaunch');
DeleteService('HidServERSvc');
DeleteService('HidServERSvcwscsvcNla');
DeleteService('HidServlanmanworkstation');
DeleteService('HidServlanmanworkstationRSVPNOD32krnEventSystem');
DeleteService('HidServWmdmPmSN');
DeleteService('HTTPFilterBITS');
DeleteService('HTTPFilterBITSRasAutoAlerter');
DeleteService('HTTPFilterBITSRasAutoAlerterdmserver');
DeleteService('HTTPFilterHidServ');
DeleteService('lanmanserverose');
DeleteService('lanmanworkstationNetlogon');
DeleteService('LmHostsClipSrv');
DeleteService('LmHostsClipSrvAppMgmtFastUserSwitchingCompatibility');
DeleteService('LmHostsClipSrvHidServlanmanworkstationRSVPNOD32krnEventSystem');
DeleteService('MDMNetDDE');
DeleteService('MDMRasMan');
DeleteService('MDMRasManShellHWDetection');
DeleteService('MDMRemoteRegistry');
DeleteService('MSDTCTermService');
DeleteService('MSDTCTermServiceProtectedStorage');
DeleteService('MSDTCTermServiceProtectedStorageWmi');
DeleteService('MyWebSearchServiceMSDTC');
DeleteService('MyWebSearchServiceMSDTCProtectedStorage');
DeleteService('MyWebSearchServiceMSDTCProtectedStorageMessenger');
DeleteService('MyWebSearchServiceMSDTCProtectedStorageMessengerBrowserwinmgmtALG');
DeleteService('NetDDEdsdmNtmsSvc');
DeleteService('NetlogonCiSvc');
DeleteService('NetlogonCiSvcEventSystem');
DeleteService('NetlogonCiSvcEventSystemClipSrv');
DeleteService('NetlogonCiSvcWmi');
DeleteService('NetlogonCiSvcWmiseclogon');
DeleteService('NetlogonCiSvcWmiTlntSvr');
DeleteService('NetmanAppMgmt');
DeleteService('NetmanAppMgmtEventlog');
DeleteService('NetmanAppMgmtEventlogAppMgmt');
DeleteService('NetmanAppMgmtEventlogAppMgmtwinmgmt');
DeleteService('NetmanAppMgmtEventlogAppMgmtwinmgmtAlerter');
DeleteService('NlaMessenger');
DeleteService('NlaMessengerlanmanworkstationNetlogon');
DeleteService('Nlaupnphost');
DeleteService('NtmsSvcRSVP');
DeleteService('NtmsSvcRSVPW32Time');
DeleteService('NtmsSvcRSVPW32TimewinmgmtALG');
DeleteService('PlugPlayBrowser');
DeleteService('PlugPlayBrowserHTTPFilterBITS');
DeleteService('PlugPlaySpooler');
DeleteService('PlugPlaySpoolerhelpsvc');
DeleteService('RasAutoAlerter');
DeleteService('RemoteAccesswinmgmt');
DeleteService('RemoteRegistryRpcSs');
DeleteService('RpcLocatorMDM');
DeleteService('RpcSsNtmsSvcRSVPW32Time');
DeleteService('RSVPNOD32krn');
DeleteService('RSVPNOD32krnCOMSysApp');
DeleteService('RSVPNOD32krnEventSystem');
DeleteService('RSVPwscsvc');
DeleteService('RSVPwscsvcMDMRasMan');
DeleteService('seclogonNtmsSvcRSVP');
DeleteService('seclogonPlugPlayBrowser');
DeleteService('ShellHWDetectionSysmonLog');
DeleteService('TapiSrvHidServ');
DeleteService('TapiSrvTapiSrv');
DeleteService('TermServiceNetDDEdsdm');
DeleteService('TermServiceWmi');
DeleteService('ThemesSENS');
DeleteService('UPSEventSystem');
DeleteService('W32Timestisvc');
DeleteService('winmgmtALG');
DeleteService('winmgmtCOMSysApp');
DeleteService('winmgmtCOMSysAppPlugPlay');
DeleteService('WmiRasAutoAlerter');
DeleteService('WmiApSrvNtmsSvcRSVPW32Time');
DeleteService('WmiRasAutoAlerter');
DeleteService('wscsvcEventSystem');
DeleteService('wscsvcNla');
DeleteService('wscsvcNlaW32Time');
DeleteService('wuauservDcomLaunch');
DeleteService('WZCSVCHidServERSvc');
DeleteService('MyWebSearchService');
DeleteService('lanmandrv');
DeleteService('djO05');
DeleteService('gdrv');
DeleteService('tcpsr');
DeleteService('Hnt85');
DeleteService('Winfm52');
QuarantineFile('C:\WINDOWS\system32\awdr.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\igfxtray.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\IMEw.dll ',' ');
QuarantineFile('c:\program files\common files\acd systems\en\devdetect.exe ',' ');
DeleteFile('c:\windows\system32\lanmanwrk.exe');
DeleteFile('c:\progra~1\mywebs~1\bar\1.bin\mwsoemon.exe');
DeleteFile('c:\documents and settings\dmitry\pwoyaia.exe');
DeleteFile('C:\Documents and Settings\Dmitry\Google\googletoolbar1.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoestb.dll');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\program files\virtualnetwork\virtualnetwork.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\djO05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfm52.sys');
DeleteFile('srv.exe');
BC_ImportAll;
BC_DeleteSvc('AppMgmtFastUserSwitchingCompatibility');
BC_DeleteSvc('AppMgmtSSDPSRV');
BC_DeleteSvc('BrowserwinmgmtALG');
BC_DeleteSvc('ClipSrvupnphost');
BC_DeleteSvc('ClipSrvWebClient');
BC_DeleteSvc('ClipSrvWebClientSSDPSRV');
BC_DeleteSvc('CryptSvcLmHosts');
BC_DeleteSvc('CryptSvcNetmanAppMgmt');
BC_DeleteSvc('CryptSvcNetmanAppMgmtMessenger');
BC_DeleteSvc('CryptSvcPlugPlayBrowser');
BC_DeleteSvc('CryptSvcWebClient');
BC_DeleteSvc('CryptSvcWebClientRSVPwscsvc');
BC_DeleteSvc('DcomLaunchNla');
BC_DeleteSvc('dmadminClipSrvWebClientSSDPSRV');
BC_DeleteSvc('FastUserSwitchingCompatibilitywuauservDcomLaunch');
BC_DeleteSvc('HidServERSvc');
BC_DeleteSvc('HidServERSvcwscsvcNla');
BC_DeleteSvc('HidServlanmanworkstation');
BC_DeleteSvc('HidServlanmanworkstationRSVPNOD32krnEventSystem');
BC_DeleteSvc('HidServWmdmPmSN');
BC_DeleteSvc('HTTPFilterBITS');
BC_DeleteSvc('HTTPFilterBITSRasAutoAlerter');
BC_DeleteSvc('HTTPFilterBITSRasAutoAlerterdmserver');
BC_DeleteSvc('HTTPFilterHidServ');
BC_DeleteSvc('lanmanserverose');
BC_DeleteSvc('lanmanworkstationNetlogon');
BC_DeleteSvc('LmHostsClipSrv');
BC_DeleteSvc('LmHostsClipSrvAppMgmtFastUserSwitchingCompatibility');
BC_DeleteSvc('LmHostsClipSrvHidServlanmanworkstationRSVPNOD32krnEventSystem');
BC_DeleteSvc('MDMNetDDE');
BC_DeleteSvc('MDMRasMan');
BC_DeleteSvc('MDMRasManShellHWDetection');
BC_DeleteSvc('MDMRemoteRegistry');
BC_DeleteSvc('MSDTCTermService');
BC_DeleteSvc('MSDTCTermServiceProtectedStorage');
BC_DeleteSvc('MSDTCTermServiceProtectedStorageWmi');
BC_DeleteSvc('MyWebSearchServiceMSDTC');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorage');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorageMessenger');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorageMessengerBrowserwinmgmtALG');
BC_DeleteSvc('NetDDEdsdmNtmsSvc');
BC_DeleteSvc('NetlogonCiSvc');
BC_DeleteSvc('NetlogonCiSvcEventSystem');
BC_DeleteSvc('NetlogonCiSvcEventSystemClipSrv');
BC_DeleteSvc('NetlogonCiSvcWmi');
BC_DeleteSvc('NetlogonCiSvcWmiseclogon');
BC_DeleteSvc('NetlogonCiSvcWmiTlntSvr');
BC_DeleteSvc('NetmanAppMgmt');
BC_DeleteSvc('NetmanAppMgmtEventlog');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmt');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmtwinmgmt');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmtwinmgmtAlerter');
BC_DeleteSvc('NlaMessenger');
BC_DeleteSvc('NlaMessengerlanmanworkstationNetlogon');
BC_DeleteSvc('Nlaupnphost');
BC_DeleteSvc('NtmsSvcRSVP');
BC_DeleteSvc('NtmsSvcRSVPW32Time');
BC_DeleteSvc('NtmsSvcRSVPW32TimewinmgmtALG');
BC_DeleteSvc('PlugPlayBrowser');
BC_DeleteSvc('PlugPlayBrowserHTTPFilterBITS');
BC_DeleteSvc('PlugPlaySpooler');
BC_DeleteSvc('PlugPlaySpoolerhelpsvc');
BC_DeleteSvc('RasAutoAlerter');
BC_DeleteSvc('RemoteAccesswinmgmt');
BC_DeleteSvc('RemoteRegistryRpcSs');
BC_DeleteSvc('RpcLocatorMDM');
BC_DeleteSvc('RpcSsNtmsSvcRSVPW32Time');
BC_DeleteSvc('RSVPNOD32krn');
BC_DeleteSvc('RSVPNOD32krnCOMSysApp');
BC_DeleteSvc('RSVPNOD32krnEventSystem');
BC_DeleteSvc('RSVPwscsvc');
BC_DeleteSvc('RSVPwscsvcMDMRasMan');
BC_DeleteSvc('seclogonNtmsSvcRSVP');
BC_DeleteSvc('seclogonPlugPlayBrowser');
BC_DeleteSvc('ShellHWDetectionSysmonLog');
BC_DeleteSvc('TapiSrvHidServ');
BC_DeleteSvc('TapiSrvTapiSrv');
BC_DeleteSvc('TermServiceNetDDEdsdm');
BC_DeleteSvc('TermServiceWmi');
BC_DeleteSvc('ThemesSENS');
BC_DeleteSvc('UPSEventSystem');
BC_DeleteSvc('W32Timestisvc');
BC_DeleteSvc('winmgmtALG');
BC_DeleteSvc('winmgmtCOMSysApp');
BC_DeleteSvc('winmgmtCOMSysAppPlugPlay');
BC_DeleteSvc('WmiRasAutoAlerter');
BC_DeleteSvc('WmiApSrvNtmsSvcRSVPW32Time');
BC_DeleteSvc('WmiRasAutoAlerter');
BC_DeleteSvc('wscsvcEventSystem');
BC_DeleteSvc('wscsvcNla');
BC_DeleteSvc('wscsvcNlaW32Time');
BC_DeleteSvc('wuauservDcomLaunch');
BC_DeleteSvc('WZCSVCHidServERSvc');
BC_DeleteSvc('MyWebSearchService');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('djO05');
BC_DeleteSvc('gdrv');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Hnt85');
BC_DeleteSvc('Winfm52');
BC_DeleteSvc('MyWebSearchService');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('djO05');
BC_DeleteSvc('gdrv');
BC_DeleteSvc('tcps');
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

ПК перезагрузится. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus). Ответ сообщите, логи повторите.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • FredyFox
      Trojan.Multi.GenAutorunReg.a не лечится антивирусом
      От FredyFox
      Вирус не лечится. Все что пишется о нем - название и что сидит в System Memory. Все, что мог бы использовать для его удаления, закрывается моментально при попытке использовать. Могу пытаться что-то с этим сделать только в безопасном режиме
    • Jortin
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится
      От Jortin
      Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 
      По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.
      CollectionLog-2024.11.07-09.15.zip
    • barank1n
      Не лечиться. Постоянно появляется снова "HEUR:Trojan.Multi.GenBadur.genw"
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • burratino
      Лечил майнер джон программой авбр. Не уверен, что вылечил до конца..
      От burratino
      Добрый день, уважаемые специалисты. Поймал майнер джон. Лечил его, исходя из рекомендаций форума. Но не уверен, что вылечил его до конца. Не могли бы подсказать. Лог работы программы ниже. СПАСИБО
      AV_block_remove_2024.08.15-00.20.log
    • Woozy
      NET:MALWARE.URL (dialer.exe) не лечится
      От Woozy
      Провел сканирование курейтом показал NET:MALWARE.URL в файле dialer.exe, не лечится. Что делать?CollectionLog-2024.06.05-11.15.zip Курейт лог.rar
×
×
  • Создать...