Как удалить Win32/Wigon троян?
При проверке NOD32 постоянно обнаруживаются модифицированный WIN32/Wigon троян по адресу C:/WINDOWS/system32/drivers/. Имя файла постоянно меняется, например: Wingc55, Winot55, Winsf33 и т.д. После лечения антивирусом все эти файлы удаляются, но появляется новый фал с аналогичным названием, к которому антивирус доступа не имеет. Имя файла: Win + две буквы + две цифры.
Пожалуйста, помогите справиться с этим трояном.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Прочитайте тут и удалите с помощью опции force delete
Не отчаивайтесь, если чего-то не найдетеКод:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\System32\drivers\Winuj55.sys C:\WINDOWS\System32\drivers\Winsf33.sys C:\WINDOWS\System32\drivers\Winmd11.sys
Пототм
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Пофиксите
5. Выполните скриптКод:O1 - Hosts: 84.95.250.10 l2testauthd.lineage2.com O1 - Hosts: 84.95.250.10 l2authd.lineage2.com O1 - Hosts: 84.95.250.10 nprotect.lineage2.com O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winsf33'); DeleteService('Winuj55'); DelWinlogonNotifyByFileName('WinCtrl32.dll'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winuj55.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winsf33.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winmd11.sys',''); QuarantineFile('WinCtrl32.dll',''); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winmd11.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winsf33.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winuj55.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин по красной ссылке вверху темы
8. Повторите логи.
Выполнил все предписанные действия, прислал карантин и логи.
P.S. Сори, в первый раз программой AVZ проверял только диск C:, теперь разобрался и проверил все диски.
Так и надоСообщение от Gennady
А это было ни к чему - АВЗ настроен на борьбу с руткитами, которые нужно ловить исключительно на системных разделах. Сейчас логи замусорены ненужной информацией.
В логах чисто. Какие проблемы замечаете?
Вроде бы всё нормально, однако смущает вот это (из протокола AVZ):
Код:3. Сканирование дисков D:\Program Files\Lineage II\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088) D:\Program Files\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088) D:\SERVER\Lineage II dc\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088) 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll --> Подозрение на Keylogger или троянскую DLL C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll>>> Поведенческий анализ
Это не системный диск и не системный раздел. Здесь чисто поведенческое подозрение. ЕСли Вы эту программу знаете, то можете сообщение игнорировать. Если нет - закачайте файл согласно приложению 3 правил и этому описанию: http://virusinfo.info/showthread.php?t=4567
Дайте себе труд и дочитайте пункт 5 протокола до конца5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Всё понятно. Спасибо большое за помощь.
Если проблем не наблюдается, то нам была бы сейчас интересна Ваша оценка нашего ресурса и раздела "Помогите". Вы можете опубликовать её в теме Скажи, что ты думаешь о Virusinfo.
Пострайтесь при ответе придерживаться следующей схемы:
Мы будем Вам очень благодарны за отзыв, он может помочь нам улучшить ресурс.1. Всё ли Вам было понятно?
2. Устраивает ли Вас форма, в которой проходило лечение?
3. Нашли ли Вы полезные материалы у нас?
4. Чего, по Вашему мнению, нам не хватает?
Советуем так же прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Gennady, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
