Помогите убрать это,по моему это вирус
fiofin
Любитель
8/20/2008, 6:04:48 AM
Это первый
fiofin
Любитель
8/20/2008, 6:05:52 AM
Это второй
DELETED
Акула пера
8/20/2008, 6:55:12 PM
WinCtrl32.dll
WinCtrl32.dl_
https://www.virustotal.com/ru/analisis/9080...bc45b0734a8cf92
Гадина села на доверенный Winlogon и подтягивает с каждым разом(заходом в инет) новую свиту, и каспер, установленный уже после заражения, -её не трогает(не видит как бы..), а палит только сатилитов.
На всякий пожарный подготовь установочный диск винды или дистрибутив SP2. Всяко может быть...
Теперь действия:
Давай так сделаем сначала - IceSword\File\ищем:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll и WinCtrl32.dl_ правой кнопкой мыши на них по очереди,- \delete force\ согласиться c системой на удаление. Ребут. Затем второго(если останется).
После этого(раз он палится), можно скачать ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe и сделать полную(после скорой) проверку всех разделов ХДД в безопасном режиме(safe mode) -F8 при перезагрузке.
Или, полная проверка касперским с обновлёнными базами(обновить заранее) так же всех разделов диска. Картинка нехорошая на столе может и остаться после, но это поправимое дело. Если кто из знающих, сможет написать толковый скрипт к этой трабле, не стесняйтесь..=)
WinCtrl32.dl_
https://www.virustotal.com/ru/analisis/9080...bc45b0734a8cf92
Гадина села на доверенный Winlogon и подтягивает с каждым разом(заходом в инет) новую свиту, и каспер, установленный уже после заражения, -её не трогает(не видит как бы..), а палит только сатилитов.
На всякий пожарный подготовь установочный диск винды или дистрибутив SP2. Всяко может быть...
Теперь действия:
Давай так сделаем сначала - IceSword\File\ищем:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll и WinCtrl32.dl_ правой кнопкой мыши на них по очереди,- \delete force\ согласиться c системой на удаление. Ребут. Затем второго(если останется).
После этого(раз он палится), можно скачать ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe и сделать полную(после скорой) проверку всех разделов ХДД в безопасном режиме(safe mode) -F8 при перезагрузке.
Или, полная проверка касперским с обновлёнными базами(обновить заранее) так же всех разделов диска. Картинка нехорошая на столе может и остаться после, но это поправимое дело. Если кто из знающих, сможет написать толковый скрипт к этой трабле, не стесняйтесь..=)
DELETED
Акула пера
8/20/2008, 8:55:52 PM
CODE begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nvappfilter.dll');
DeleteFile('C:\WINDOWS\system32\klogon.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(8 );
BC_Activate;
RebootWindows(true);
end.
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nvappfilter.dll');
DeleteFile('C:\WINDOWS\system32\klogon.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(8 );
BC_Activate;
RebootWindows(true);
end.
DELETED
Акула пера
8/20/2008, 9:45:02 PM
(JeyLo @ 20.08.2008 - время: 16:55) CODE begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nvappfilter.dll');
DeleteFile('C:\WINDOWS\system32\klogon.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(8 );
BC_Activate;
RebootWindows(true);
end.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winvd28.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\blphcetpj0e76c.scr');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(5);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
навсяк прожарный...
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nvappfilter.dll');
DeleteFile('C:\WINDOWS\system32\klogon.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(8 );
BC_Activate;
RebootWindows(true);
end.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winvd28.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\blphcetpj0e76c.scr');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(5);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
навсяк прожарный...
fiofin
Любитель
8/21/2008, 5:02:48 AM
Всё проверил Доктор Вебом(5 часов проверял),убил 3 трояна и 2 файла взял в карантин. Это всё? Или ещё что то надо сделать? Я незнаю что дальше надо делать?
DELETED
Акула пера
8/21/2008, 5:59:25 PM
(fiofin @ 21.08.2008 - время: 01:02) Всё проверил Доктор Вебом(5 часов проверял),убил 3 трояна и 2 файла взял в карантин. Это всё? Или ещё что то надо сделать? Я незнаю что дальше надо делать?
Сделай, обновив базы АВЗ, повторные 3 лога(включая и лог HijackThis-обновить версию не мешало бы.. до 2торой ). Остался один шажок до излечения.. реестр(раб. стол) поправим- это в последнюю очередь.
Сделай, обновив базы АВЗ, повторные 3 лога(включая и лог HijackThis-обновить версию не мешало бы.. до 2торой ). Остался один шажок до излечения.. реестр(раб. стол) поправим- это в последнюю очередь.
fiofin
Любитель
8/21/2008, 11:10:23 PM
Logfile of HijackThis v1.99.1
Scan saved at 19:00:26, on 21.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
HijackThis не обновлял(надеюсь это не критично). Каспера я с компа удалил,нудный он очень и базы обновить не может почему то. Доктор Веб по моему лучше. К стати заставка с предупреждением больше на рабочем столе не появляеться. Вроде бы всё идёт нормально.
Это первый лог
Scan saved at 19:00:26, on 21.08.2008
Platform: Windows XP SP2 - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
HijackThis не обновлял(надеюсь это не критично). Каспера я с компа удалил,нудный он очень и базы обновить не может почему то. Доктор Веб по моему лучше. К стати заставка с предупреждением больше на рабочем столе не появляеться. Вроде бы всё идёт нормально.
Это первый лог
fiofin
Любитель
8/21/2008, 11:11:31 PM
Это второй
fiofin
Любитель
8/21/2008, 11:13:45 PM
Посмотрите Логи и скрипты,что то ещё нужно делать? Или все вирусы убиты?
DELETED
Акула пера
8/21/2008, 11:26:17 PM
имхо чистенько...
fiofin
Любитель
8/21/2008, 11:44:49 PM
УРАААА!!!! 
JeyLo СПАСИБО!!!
ENT СПАСИБО!!!
Посоветуйте плиз какой нибудь ненапряжный антивирус,на подобии DrWeba,что бы всякую ДРЯНЬ в комп не пускал и по пустякам не напрягал.Тихий,незаметный,эффективный и на русском языке. СПАСИБО!!!
JeyLo СПАСИБО!!!
ENT СПАСИБО!!!
Посоветуйте плиз какой нибудь ненапряжный антивирус,на подобии DrWeba,что бы всякую ДРЯНЬ в комп не пускал и по пустякам не напрягал.Тихий,незаметный,эффективный и на русском языке. СПАСИБО!!!
Vertigo
Мастер
8/22/2008, 1:16:22 AM
Посоветуйте плиз какой нибудь ненапряжный антивирус,на подобии DrWeba,что бы всякую ДРЯНЬ в комп не пускал и по пустякам не напрягал.Тихий,незаметный,эффективный и на русском языке. СПАСИБО!!!
Eset Nod32 3.0
Русская версия
Ключи
Eset Nod32 3.0
Русская версия
Ключи
DELETED
Акула пера
8/22/2008, 3:15:14 AM
Сразу же, не отходя от кассы, необходимо обновить винду(SP3 Установить) https://www.microsoft.com/downloads/details...50-fe22559d164e Перед установкой, нужно отключить антивирь и все программы.. Или будешь здесь в числе постоянных клиентов...
fiofin
Любитель
8/22/2008, 3:24:12 AM
Я по ссылке перешёл,а что именно там загружать? Мне удалять старую Винду надеюсь не надо? Как это обновление работает? Объясни пошагово пожалуйста
DELETED
Акула пера
8/22/2008, 3:52:27 AM
(fiofin @ 21.08.2008 - время: 23:24) Я по ссылке перешёл,а что именно там загружать? Мне удалять старую Винду надеюсь не надо? Как это обновление работает? Объясни пошагово пожалуйста
\"Загрузить\" кнопку, видишь? Жми. Ничего удалять не нужно. То, что скачаешь, нареж на СД-болванку, вставь в привод и перезагрузку нажми. Всё. После установки, потребуется, повторная активация windows.. Это нужно учитывать.=))
\"Загрузить\" кнопку, видишь? Жми. Ничего удалять не нужно. То, что скачаешь, нареж на СД-болванку, вставь в привод и перезагрузку нажми. Всё. После установки, потребуется, повторная активация windows.. Это нужно учитывать.=))
Правда
Грандмастер
8/22/2008, 3:58:03 AM
(ENT @ 21.08.2008 - время: 22:15) Сразу же, не отходя от кассы, необходимо обновить винду(SP3 Установить) https://www.microsoft.com/downloads/details...50-fe22559d164e Перед установкой, нужно отключить антивирь и все программы.. Или будешь здесь в числе постоянных клиентов...
Отзыв о SP3.
Отзыв о SP3.
Vertigo
Мастер
8/22/2008, 4:07:39 AM
Не усложняйте себе и другим жизнь. Стоит СП2 и пусть дальше стоит.
У меня тоже СП2 стоит и стабильно работает.
У меня тоже СП2 стоит и стабильно работает.
DELETED
Акула пера
8/22/2008, 4:08:19 AM
(Правда @ 21.08.2008 - время: 23:58) (ENT @ 21.08.2008 - время: 22:15) Сразу же, не отходя от кассы, необходимо обновить винду(SP3 Установить) https://www.microsoft.com/downloads/details...50-fe22559d164e Перед установкой, нужно отключить антивирь и все программы.. Или будешь здесь в числе постоянных клиентов...
Отзыв о SP3.
нафиг отзыв. =) у меня своё мнение, кстати и на счёт антивируса тоже.. ftp://support-r:[email protected]
Правда, может логи сделаешь? Проверим твой комп.. посмотрим.. интересно...
Отзыв о SP3.
нафиг отзыв. =) у меня своё мнение, кстати и на счёт антивируса тоже.. ftp://support-r:[email protected]
Правда, может логи сделаешь? Проверим твой комп.. посмотрим.. интересно...
fiofin
Любитель
8/22/2008, 4:14:06 AM
Отзыв относительно SP3 напрягает. С одной стороны советуют,с другой не рекомендуют,СТРАННО. Я вообще не понимаю зачем мне пакет обновлений,если у меня КАЖДЫЙ день комп производит автоматическую загрузку обновлений?При этом я этих обновлений ВООБЩЕ незамечаю.Что они есть,что их нет??? Может всё же достаточно будет просто поставить NOD32 рекомендованный Vertigo? У меня 3 года комп работал вообще без антивируса,и ничего серьёзного не было.А уж если вирус влезет ХИТРЫЙ,я думаю его ни антивирус ни SP3 не остановит. Придёться удалять его долго и методично,или форматнуть всё,и выставить заново.
Всё же я установлю NOD 32 и этим пока ограничусь,комп сейчас нормально пашет.
Всё же я установлю NOD 32 и этим пока ограничусь,комп сейчас нормально пашет.