Wigon.AG
NOD32 AMON сообщение о тревоге
файл:
C:\WINDOWS\TEMP\125406.exe
вирус:
Wigon.AG
комментарий:
событие в новом файле, созданном приложением C:\WINDOWS\system32\svchost.exe
каждый раз ловит и изолирует, но первоисточник то где, буду признателен за помощь в борьбе с этой заразой, инструкцию выполнил, логи прилагаются
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vbf38.sys',''); QuarantineFile('C:\WINDOWS\system32\guard32.dll',''); BC_ImportALL; BC_DeleteSvc('smtpdrv'); BC_Activate; RebootWindows(true); end.
Поищите в AVZ - Сервис - Поиск файлов на диске файл svchost.exe, если найдется где-то кроме папки C:\WINDOWS\system32 - добавьте в карантин.
Пришлите весь карантин согласно приложению 3 правил.
I am not young enough to know everything...
файл svchost.exe присутствует еще в 3-х местах:
C:\WINDOWS\Prefetch\SVCHOST.EXE размер 0 дата созд 19,08,2007 14,03,31 мод 19,08,2007 14,04,14
C:\WINDOWS\ServicePackFiles\i386\svchost.exe разм 14336 созд 31,10,2005 11,49,06 мод 04,08,2004 11,56,58
C:\WINDOWS\system32\dllcache\svchost.exe разм 14336 созд 23,08,2001 15,00,00 мод 18,08,2007 16,48,43
долго бодался, но avz отказался копировать их в карантин без объяснения причин и вообще какой либо реакции потому выслал только то, что было в карантине
Это системные файлы и AVZ опознал их как безопасные, потому в карантин не попали
Выполните такой скрипт:
Если что-то попадет в карантин - пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\Vbf38.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Vbf38.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) globem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
