Junior Member
Вес репутации
59
Win32/Wigon Троян
Здравствуйте! Появился такой вирус – Win 32/ Wigon Троян в папке C:\WINDOWS\System32\drivers\Ppk55.sys. При перезагрузке и входе в сеть опять появляется. Выполняла все пункты правил строго. Но не помогло. Что делать? Еще был обнаружен такой в этой папке C:\WINDOWS\system32\WLCtrl32.dll Win32/Wigon.BA Троян.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
BitAccelerator, ConnectionServices деинсталлировать для начала.
Отключить антивирус.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Eset\nodlogin.exe','');
QuarantineFile('C:\Documents and Settings\Мария\Рабочий стол\.//..//~tmp1174.exe','');
SetServiceStart('Ygj60', 4);
SetServiceStart('Tlq15', 4);
SetServiceStart('Sxy62', 4);
SetServiceStart('Rrf21', 4);
SetServiceStart('Qyo68', 4);
SetServiceStart('Qvd48', 4);
SetServiceStart('Qjt21', 4);
SetServiceStart('Nig82', 4);
SetServiceStart('Jec68', 4);
SetServiceStart('Ifk33', 4);
SetServiceStart('Idn66', 4);
SetServiceStart('Gob00', 4);
SetServiceStart('Ggq01', 4);
SetServiceStart('Ebq71', 4);
SetServiceStart('Cwf81', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Axd78.sys','');
SetServiceStart('Axd78', 4);
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Axd78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cwf81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ebq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ggq01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gob00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Idn66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ifk33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jec68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nig82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qjt21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvd48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qyo68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rrf21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxy62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tlq15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygj60.sys');
DeleteFile('C:\Documents and Settings\Мария\Рабочий стол\.//..//~tmp1174.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После перезагрузки сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
больше не ставьте, то что предлагают на сайте летитбита- гадость
Junior Member
Вес репутации
59
После выполнения скрипта, при перезагрузке компа, не загружается Windows, пришлось загружать последнюю работоспособную. И до перезагрузки не работали программы и сеть. Вирус пока есть. Сейчас опять буду делать все заново.
virusinfo_syscheck.zip повторите ....
Junior Member
Вес репутации
59
вот выкладываю, только забыла восстановление системы выкл, если без этого нельзя сейчас буду заново все делать
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Ygj60');
BC_DeleteSvc('Sxy62');
BC_DeleteSvc('Rrf21');
BC_DeleteSvc('Qvd48');
BC_DeleteSvc('Nig82');
BC_DeleteSvc('Ifk33');
BC_DeleteSvc('Idn66');
BC_DeleteSvc('Gob00');
BC_DeleteSvc('Ebq71');
BC_DeleteSvc('Cwf81');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cwf81.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Cwf81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ebq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gob00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Idn66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ifk33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nig82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvd48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rrf21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxy62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygj60.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил..
повторите логи начиная с пункта 10 правил ....
Junior Member
Вес репутации
59
Логи до выполнения последнего скрипта...с отключением восстановления системы
Вложения
Junior Member
Вес репутации
59
После выполнения скрипта...
Вложения
Уже намного лучше
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Cpqarray.sys','');
SetServiceStart('Vlv48', 4);
SetServiceStart('Glq37', 4);
BC_ImportALL;
BC_DeleteSvc('Vlv48');
BC_DeleteSvc('Glq37');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20246
Добавлено через 46 секунд
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
повторите логи начиная с пункта 10 правил
Последний раз редактировалось akoK; 21.03.2008 в 22:59 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
До выполнения последнего скрипта уже эта гадость не вылезала !!
Вот логи после скрипта....
Вложения
Я не вижу к чему придраться.
Какие проблемы еще остались?
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Все отлично!!! СПАСИБО БОЛЬШОЕ!!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 28 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: Trojan.BitAcc) c:\\program files\\bitaccelerator\\bitaccelerator.exe - Trojan.Win32.ConnectionServices.e (DrWEB: Trojan.BitAcc) c:\\system volume information\\_restore{b034dda1-f4f5-4920-806b-18684fa2879d}\\rp1\\a0000024.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: Trojan.BitAcc) c:\\system volume information\\_restore{b034dda1-f4f5-4920-806b-18684fa2879d}\\rp1\\a0000025.exe - Trojan.Win32.ConnectionServices.e (DrWEB: Trojan.BitAcc) c:\\system volume information\\_restore{b034dda1-f4f5-4920-806b-18684fa2879d}\\rp1\\a0000027.dll - Trojan.Win32.ConnectionServices.r (DrWEB: Trojan.BitAcc) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037)