Перейти к содержанию
Правила раздела

Лечим WinCtrl32, ntos.exe и прочее

Sim

От Sim
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • 2 months later...
Sim Новичок

Sim

Опубликовано
  • Автор
Опубликовано

Проблема разрешилась частично. С експлорером какие-то глюки постоянно случаются - но это пережить можно. А вот то, что мозилла перестал сохранять страницы, слегка напрягает...ну, это мелочи...установили 7ую версию - лицензию - вашего антивируса, и почти все вернулось на место...^^

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано (изменено)

Попробуйте обовиться до версии 8.0 (2009) и версию браузера до самой последней...

Изменено пользователем JIABP
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Sim

У вас целый букет, но удалить это вполне реально.

 

Качаем IceSword.

 

Прибиваем в нем:

C:\WINDOWS\System32\Drivers\Winfm52.sys

C:\WINDOWS\system32\Drivers\Hnt85.sys

C:\WINDOWS\system32\WinCtrl32.dl

 

Как это сделать?

-Запустите программу.

-Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита.

-Нажмите по нему правой кнопкой мыши и выберите force delete.

-На запрос потверждения ответьте "да".

 

 

Пофиксить в HJT:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Dmitry\pwoyaia.exe \s,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - C:\Program Files\VirtualNetwork\VirtualNetwork.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - D:\Program Files\BitAccelerator\BitAccelerator.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Dmitry\Google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean
O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINDOWS\System32\KernelDrv.exe clean
O4 - HKLM\..\Run: [awdr] C:\WINDOWS\system32\awdr.exe \u
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZKman000
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

 

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\Documents and Settings\Dmitry\pwoyaia.exe ');
DeleteService('AppMgmtFastUserSwitchingCompatibility');
DeleteService('AppMgmtSSDPSRV');
DeleteService('BrowserwinmgmtALG');
DeleteService('ClipSrvupnphost');
DeleteService('ClipSrvWebClient');
DeleteService('ClipSrvWebClientSSDPSRV');
DeleteService('CryptSvcLmHosts');
DeleteService('CryptSvcNetmanAppMgmt');
DeleteService('CryptSvcNetmanAppMgmtMessenger');
DeleteService('CryptSvcPlugPlayBrowser');
DeleteService('CryptSvcWebClient');
DeleteService('CryptSvcWebClientRSVPwscsvc');
DeleteService('DcomLaunchNla');
DeleteService('dmadminClipSrvWebClientSSDPSRV');
DeleteService('FastUserSwitchingCompatibilitywuauservDcomLaunch');
DeleteService('HidServERSvc');
DeleteService('HidServERSvcwscsvcNla');
DeleteService('HidServlanmanworkstation');
DeleteService('HidServlanmanworkstationRSVPNOD32krnEventSystem');
DeleteService('HidServWmdmPmSN');
DeleteService('HTTPFilterBITS');
DeleteService('HTTPFilterBITSRasAutoAlerter');
DeleteService('HTTPFilterBITSRasAutoAlerterdmserver');
DeleteService('HTTPFilterHidServ');
DeleteService('lanmanserverose');
DeleteService('lanmanworkstationNetlogon');
DeleteService('LmHostsClipSrv');
DeleteService('LmHostsClipSrvAppMgmtFastUserSwitchingCompatibility');
DeleteService('LmHostsClipSrvHidServlanmanworkstationRSVPNOD32krnEventSystem');
DeleteService('MDMNetDDE');
DeleteService('MDMRasMan');
DeleteService('MDMRasManShellHWDetection');
DeleteService('MDMRemoteRegistry');
DeleteService('MSDTCTermService');
DeleteService('MSDTCTermServiceProtectedStorage');
DeleteService('MSDTCTermServiceProtectedStorageWmi');
DeleteService('MyWebSearchServiceMSDTC');
DeleteService('MyWebSearchServiceMSDTCProtectedStorage');
DeleteService('MyWebSearchServiceMSDTCProtectedStorageMessenger');
DeleteService('MyWebSearchServiceMSDTCProtectedStorageMessengerBrowserwinmgmtALG');
DeleteService('NetDDEdsdmNtmsSvc');
DeleteService('NetlogonCiSvc');
DeleteService('NetlogonCiSvcEventSystem');
DeleteService('NetlogonCiSvcEventSystemClipSrv');
DeleteService('NetlogonCiSvcWmi');
DeleteService('NetlogonCiSvcWmiseclogon');
DeleteService('NetlogonCiSvcWmiTlntSvr');
DeleteService('NetmanAppMgmt');
DeleteService('NetmanAppMgmtEventlog');
DeleteService('NetmanAppMgmtEventlogAppMgmt');
DeleteService('NetmanAppMgmtEventlogAppMgmtwinmgmt');
DeleteService('NetmanAppMgmtEventlogAppMgmtwinmgmtAlerter');
DeleteService('NlaMessenger');
DeleteService('NlaMessengerlanmanworkstationNetlogon');
DeleteService('Nlaupnphost');
DeleteService('NtmsSvcRSVP');
DeleteService('NtmsSvcRSVPW32Time');
DeleteService('NtmsSvcRSVPW32TimewinmgmtALG');
DeleteService('PlugPlayBrowser');
DeleteService('PlugPlayBrowserHTTPFilterBITS');
DeleteService('PlugPlaySpooler');
DeleteService('PlugPlaySpoolerhelpsvc');
DeleteService('RasAutoAlerter');
DeleteService('RemoteAccesswinmgmt');
DeleteService('RemoteRegistryRpcSs');
DeleteService('RpcLocatorMDM');
DeleteService('RpcSsNtmsSvcRSVPW32Time');
DeleteService('RSVPNOD32krn');
DeleteService('RSVPNOD32krnCOMSysApp');
DeleteService('RSVPNOD32krnEventSystem');
DeleteService('RSVPwscsvc');
DeleteService('RSVPwscsvcMDMRasMan');
DeleteService('seclogonNtmsSvcRSVP');
DeleteService('seclogonPlugPlayBrowser');
DeleteService('ShellHWDetectionSysmonLog');
DeleteService('TapiSrvHidServ');
DeleteService('TapiSrvTapiSrv');
DeleteService('TermServiceNetDDEdsdm');
DeleteService('TermServiceWmi');
DeleteService('ThemesSENS');
DeleteService('UPSEventSystem');
DeleteService('W32Timestisvc');
DeleteService('winmgmtALG');
DeleteService('winmgmtCOMSysApp');
DeleteService('winmgmtCOMSysAppPlugPlay');
DeleteService('WmiRasAutoAlerter');
DeleteService('WmiApSrvNtmsSvcRSVPW32Time');
DeleteService('WmiRasAutoAlerter');
DeleteService('wscsvcEventSystem');
DeleteService('wscsvcNla');
DeleteService('wscsvcNlaW32Time');
DeleteService('wuauservDcomLaunch');
DeleteService('WZCSVCHidServERSvc');
DeleteService('MyWebSearchService');
DeleteService('lanmandrv');
DeleteService('djO05');
DeleteService('gdrv');
DeleteService('tcpsr');
DeleteService('Hnt85');
DeleteService('Winfm52');
QuarantineFile('C:\WINDOWS\system32\awdr.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\igfxtray.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\IMEw.dll ',' ');
QuarantineFile('c:\program files\common files\acd systems\en\devdetect.exe ',' ');
DeleteFile('c:\windows\system32\lanmanwrk.exe');
DeleteFile('c:\progra~1\mywebs~1\bar\1.bin\mwsoemon.exe');
DeleteFile('c:\documents and settings\dmitry\pwoyaia.exe');
DeleteFile('C:\Documents and Settings\Dmitry\Google\googletoolbar1.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoestb.dll');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\program files\virtualnetwork\virtualnetwork.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\djO05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfm52.sys');
DeleteFile('srv.exe');
BC_ImportAll;
BC_DeleteSvc('AppMgmtFastUserSwitchingCompatibility');
BC_DeleteSvc('AppMgmtSSDPSRV');
BC_DeleteSvc('BrowserwinmgmtALG');
BC_DeleteSvc('ClipSrvupnphost');
BC_DeleteSvc('ClipSrvWebClient');
BC_DeleteSvc('ClipSrvWebClientSSDPSRV');
BC_DeleteSvc('CryptSvcLmHosts');
BC_DeleteSvc('CryptSvcNetmanAppMgmt');
BC_DeleteSvc('CryptSvcNetmanAppMgmtMessenger');
BC_DeleteSvc('CryptSvcPlugPlayBrowser');
BC_DeleteSvc('CryptSvcWebClient');
BC_DeleteSvc('CryptSvcWebClientRSVPwscsvc');
BC_DeleteSvc('DcomLaunchNla');
BC_DeleteSvc('dmadminClipSrvWebClientSSDPSRV');
BC_DeleteSvc('FastUserSwitchingCompatibilitywuauservDcomLaunch');
BC_DeleteSvc('HidServERSvc');
BC_DeleteSvc('HidServERSvcwscsvcNla');
BC_DeleteSvc('HidServlanmanworkstation');
BC_DeleteSvc('HidServlanmanworkstationRSVPNOD32krnEventSystem');
BC_DeleteSvc('HidServWmdmPmSN');
BC_DeleteSvc('HTTPFilterBITS');
BC_DeleteSvc('HTTPFilterBITSRasAutoAlerter');
BC_DeleteSvc('HTTPFilterBITSRasAutoAlerterdmserver');
BC_DeleteSvc('HTTPFilterHidServ');
BC_DeleteSvc('lanmanserverose');
BC_DeleteSvc('lanmanworkstationNetlogon');
BC_DeleteSvc('LmHostsClipSrv');
BC_DeleteSvc('LmHostsClipSrvAppMgmtFastUserSwitchingCompatibility');
BC_DeleteSvc('LmHostsClipSrvHidServlanmanworkstationRSVPNOD32krnEventSystem');
BC_DeleteSvc('MDMNetDDE');
BC_DeleteSvc('MDMRasMan');
BC_DeleteSvc('MDMRasManShellHWDetection');
BC_DeleteSvc('MDMRemoteRegistry');
BC_DeleteSvc('MSDTCTermService');
BC_DeleteSvc('MSDTCTermServiceProtectedStorage');
BC_DeleteSvc('MSDTCTermServiceProtectedStorageWmi');
BC_DeleteSvc('MyWebSearchServiceMSDTC');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorage');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorageMessenger');
BC_DeleteSvc('MyWebSearchServiceMSDTCProtectedStorageMessengerBrowserwinmgmtALG');
BC_DeleteSvc('NetDDEdsdmNtmsSvc');
BC_DeleteSvc('NetlogonCiSvc');
BC_DeleteSvc('NetlogonCiSvcEventSystem');
BC_DeleteSvc('NetlogonCiSvcEventSystemClipSrv');
BC_DeleteSvc('NetlogonCiSvcWmi');
BC_DeleteSvc('NetlogonCiSvcWmiseclogon');
BC_DeleteSvc('NetlogonCiSvcWmiTlntSvr');
BC_DeleteSvc('NetmanAppMgmt');
BC_DeleteSvc('NetmanAppMgmtEventlog');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmt');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmtwinmgmt');
BC_DeleteSvc('NetmanAppMgmtEventlogAppMgmtwinmgmtAlerter');
BC_DeleteSvc('NlaMessenger');
BC_DeleteSvc('NlaMessengerlanmanworkstationNetlogon');
BC_DeleteSvc('Nlaupnphost');
BC_DeleteSvc('NtmsSvcRSVP');
BC_DeleteSvc('NtmsSvcRSVPW32Time');
BC_DeleteSvc('NtmsSvcRSVPW32TimewinmgmtALG');
BC_DeleteSvc('PlugPlayBrowser');
BC_DeleteSvc('PlugPlayBrowserHTTPFilterBITS');
BC_DeleteSvc('PlugPlaySpooler');
BC_DeleteSvc('PlugPlaySpoolerhelpsvc');
BC_DeleteSvc('RasAutoAlerter');
BC_DeleteSvc('RemoteAccesswinmgmt');
BC_DeleteSvc('RemoteRegistryRpcSs');
BC_DeleteSvc('RpcLocatorMDM');
BC_DeleteSvc('RpcSsNtmsSvcRSVPW32Time');
BC_DeleteSvc('RSVPNOD32krn');
BC_DeleteSvc('RSVPNOD32krnCOMSysApp');
BC_DeleteSvc('RSVPNOD32krnEventSystem');
BC_DeleteSvc('RSVPwscsvc');
BC_DeleteSvc('RSVPwscsvcMDMRasMan');
BC_DeleteSvc('seclogonNtmsSvcRSVP');
BC_DeleteSvc('seclogonPlugPlayBrowser');
BC_DeleteSvc('ShellHWDetectionSysmonLog');
BC_DeleteSvc('TapiSrvHidServ');
BC_DeleteSvc('TapiSrvTapiSrv');
BC_DeleteSvc('TermServiceNetDDEdsdm');
BC_DeleteSvc('TermServiceWmi');
BC_DeleteSvc('ThemesSENS');
BC_DeleteSvc('UPSEventSystem');
BC_DeleteSvc('W32Timestisvc');
BC_DeleteSvc('winmgmtALG');
BC_DeleteSvc('winmgmtCOMSysApp');
BC_DeleteSvc('winmgmtCOMSysAppPlugPlay');
BC_DeleteSvc('WmiRasAutoAlerter');
BC_DeleteSvc('WmiApSrvNtmsSvcRSVPW32Time');
BC_DeleteSvc('WmiRasAutoAlerter');
BC_DeleteSvc('wscsvcEventSystem');
BC_DeleteSvc('wscsvcNla');
BC_DeleteSvc('wscsvcNlaW32Time');
BC_DeleteSvc('wuauservDcomLaunch');
BC_DeleteSvc('WZCSVCHidServERSvc');
BC_DeleteSvc('MyWebSearchService');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('djO05');
BC_DeleteSvc('gdrv');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Hnt85');
BC_DeleteSvc('Winfm52');
BC_DeleteSvc('MyWebSearchService');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('djO05');
BC_DeleteSvc('gdrv');
BC_DeleteSvc('tcps');
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

ПК перезагрузится. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus). Ответ сообщите, логи повторите.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Jortin
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится
      От Jortin
      Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 
      По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.
      CollectionLog-2024.11.07-09.15.zip
    • barank1n
      Не лечиться. Постоянно появляется снова "HEUR:Trojan.Multi.GenBadur.genw"
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • ska79
      Икра кабачковая или лечо из кабачков
      От ska79
      Для приготовления понадобится:
      5 или 6 кабачков.
      морковь 4 шт среднего размера.
      лук 5 луковок.
      перец болгарский зеленый 4 штуки.
      томатная паста 4 ложки.
      соль 2 с половиной столовых ложки.
      сахар 6 столовых ложек.
      Перец душисты горошек 7 горошин.
      лавровый лист 7 листьев
      масло подсолнечное  250 мл
      вода 200 мл
      Лимонная кислота (1 чайную ложку кислоты растворяем в 14 столовых ложках воды) - 3 столовых ложки раствора
       
      Чистим кабачки от кожуры и семян, режем мелкими кусочками (так как блендера не имею) и вываливаем их в кастрюлю, морковь чистим натираем на терке добавляем в кастрюлю к кабачкам, лук нарезаем кольцами, очищаем перец болгарский от семян, нарезаем и в кастрюлю, добавляем масло подсолнечное и воду
      Добавляем сахар, соль, лавровый лист, душистый перец в кастрюлю. Ставим кастрюлю на плиту.
      После закипания варим 30 минут периодически перемешивая содержимое кастрюли, через 30 минут с момента закипания добавляем томатную пасту, варим еще 20 минут, добавляем раствор лимонной кислоты 3 столовых ложки, снимаем кастрюлю с плиты и раскладываем содержимое кастрюли по предварительно простерелизованным банкам, закатываем банки крышками, и переворачиваем вверх дном, накрываем полотенцем. и оставляем до те пор пока не остынутю
      После остывания убираем в холодильник.
      Лимонную кислоту использовал по причине отсутствия уксуса
       

       
    • burratino
      Лечил майнер джон программой авбр. Не уверен, что вылечил до конца..
      От burratino
      Добрый день, уважаемые специалисты. Поймал майнер джон. Лечил его, исходя из рекомендаций форума. Но не уверен, что вылечил его до конца. Не могли бы подсказать. Лог работы программы ниже. СПАСИБО
      AV_block_remove_2024.08.15-00.20.log
    • 3545firego
      taskhostw.exe и прочее
      От 3545firego
      В общем, вчера купил видеокарту 3050 RTX. Установил, всё ок.
      Занимаюсь хостом сервера со своего пк по игре Conan Exiles. Захотел через Shadow Play заснять ролик, но по какой-то причине не получилось
      После перезагрузки ПК могу снимать в течении 5 минут, но потом Shadow Play замирает НАМЕРТВО.
       
      С помощью KRVT стал проверять систему и нашёл 2 трояна. Один из них был в системных процессах но с пустым названием. Лечение через KRVT вызвали ошибки в системе и перезагрузку. Как-то увидеть причину не получается.
      Не знаю, что именно подцепил. Майнер? Вирус?
      Очень нужна ваша помощь.
×
×
  • Создать...