Junior Member
Вес репутации
59
Помогите - Win32/Wigon.Ax
Подцепил заразу, не могу избавится...Нод при запуске инета находит в C:\WINDOWS\System32\drivers\Nqt71.sys Win32/Wigon.AX троян,перемещает в карантин, но как результат - зверски жрется трафик и результата нет ... вся надежда на вас, прикрепляю файлы:
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачать ... http://www.wasm.ru/baixado.php?mode=tool&id=392
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\drivers\Nqt71.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
Затем будем скриптами дочищать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Ок, тока один момент по поводу антивируса - я нод вырубаю, а в процессах остается nod32krn.exe, причем не завершается принудительно, его тоже закрывать или можно оставить?
Лучше тормозни его чтобы не мешался.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Еще забыл уточнить что в drivers\Nqt71.sys файл с раширением sys каждый раз разный. Nqt71.sys не нашел, нод вероятно его в карантин перемещает, а при следующей перезагрузке и выходе в инет он находит уже другой файл с расширением sys.
Последний раз редактировалось Diamond85; 11.03.2008 в 19:50 .
Начнем вот с этого:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system\wininit.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\Program Files\\common files\\system\\dnet\\dnetc.ini','');
QuarantineFile('C:\Program Files\\common files\\system\\dnet\\dnetc.exe','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Program Files\\common files\\system\\dnet\\dnetc.exe');
DeleteFile('C:\Program Files\\common files\\system\\dnet\\dnetc.ini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если что попадет в карантин, то загрузить через ссылку вверху.
После этого сделать логи с п.10
В Планировщики Ваши задания? Если нет то удалить.
Последний раз редактировалось Alex_Goodwin; 11.03.2008 в 20:26 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
я так понимаю это скопировать в AVZ - выполнить скрипт?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Не получается - Ошибка скрипта: Undeclared identifier: 'BC_ImportDeletedAll', позиция [11:20]
Junior Member
Вес репутации
59
Выполнил вышенаписанный скрипт, нод вроде молчит, никаких вирусов не находит, выкладываю файлы с 10п.:
Вложения
1. Пофиксить:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O22 - SharedTaskScheduler: OpenGL additional - {8A5849C4-93F3-429D-FF34-660A2068897C} - (no file)
2. Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
QuarantineFile('C:\WINDOWS\system32\ecsRx18K.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{85d1f590-48f4-11d9-9669-0800200c9a66}');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ayneqeh8.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\ayneqeh8.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\bdoscandel.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Junior Member
Вес репутации
59
Всё сделал. Что-нибудь еще требуется?
Карантин отправьте. Логи начиная с пункта 10 повторите.
Junior Member
Вес репутации
59
Вложения
Ну вообще-то карантин у нас грузится по ссылке вверху страницы, а не в тему, уберите его.
WLCtrl32.dll - Trojan-Downloader.Win32.Agent.kvg
Поищите при помощи АВЗ сервис--поиск файлов на диске ecsRx18K.exe пришлите его согласно приложению 2 правил.
Junior Member
Вес репутации
59
Прошу прощения, отослал карантин по правилам...поиск ecsRx18K.exe результатов не дал...
Пуск - панель управления - назначенные задания - удалить все связанное с ecsRx18K.exe