Junior Member
Вес репутации
60
И снова Win32/Wigon...
Здравствуйте!
При подключении к интернету Нод32 обнаруживает модифицированный Win32/Wigon. И удаляет его. Каждый раз...
Только толку от этого никакого. В cmd набираю netstat - показывает кучу непонятных соединений. Трафик идет по полной программе!
Заранее спасибо за помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите интернет и антивирус.
Пофиксите в HijackThis:
Код:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Не перезагружаясь после фикса, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\fservice.exe','');
QuarantineFile('C:\DOCUME~1\GOLOVU~1\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\GOLOVU~1\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS\system32\fservice.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xdq32');
BC_DeleteSvc('wpM62');
BC_DeleteSvc('woM23');
BC_DeleteSvc('voQ44');
BC_DeleteSvc('Uff51');
BC_DeleteSvc('tlL30');
BC_DeleteSvc('Tgt35');
BC_DeleteSvc('snD77');
BC_DeleteSvc('Sld22');
BC_DeleteSvc('protect');
BC_DeleteSvc('Phc46');
BC_DeleteSvc('nsC20');
BC_DeleteSvc('Naf63');
BC_DeleteSvc('mrU54');
BC_DeleteSvc('mhC10');
BC_DeleteSvc('Lxq51');
BC_DeleteSvc('leJ06');
BC_DeleteSvc('Jym85');
BC_DeleteSvc('jtV26');
BC_DeleteSvc('Jte30');
BC_DeleteSvc('Ibi85');
BC_DeleteSvc('huK28');
BC_DeleteSvc('Haa84');
BC_DeleteSvc('Glt37');
BC_DeleteSvc('ggB24');
BC_DeleteSvc('faF84');
BC_DeleteSvc('dlV77');
BC_DeleteSvc('ckC48');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('dmserverSwPrv');
BC_DeleteSvc('avagnt');
BC_DeleteSvc('Automatic LiveUpdate Scheduler');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24262 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 1);
BC_DeleteSvc('Sii85');
BC_DeleteSvc('ibB07');
BC_DeleteSvc('Bvb57');
BC_Activate;
RebootWindows(true);
end.
Повторите лог syscheck.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вложения
Теперь все чисто. Автозапуск CD заработал?
I am not young enough to know everything...
Junior Member
Вес репутации
60
Да, большое спасибо!!!
Посоветуйте пожалуйста файрвол. А то моего НОДа явно не хватает для безопасности системы. Постоянно ловлю троянов. И если раньше удавалось их вычистить самостоятельно, то теперь вот только с вашей помощью.
Про фаерволлы в этом разделе много информации:
http://virusinfo.info/forumdisplay.php?f=40
Было: WinNt32.dll - Trojan-Downloader.Win32.Mutant.adh
Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 12:56 .
I am not young enough to know everything...
Junior Member
Вес репутации
60
Просто кошмар какой-то! Пока я выбирал файрвол, проклятый Wigon вновь пролез в мой комп... (((
Ужас...
Вложения
А НОД у вас обновляется? Что-то он совсем мышей не ловит
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\kdheh.exe','');
DeleteFile('C:\WINDOWS\system32\kdheh.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportALL;
BC_DeleteSvc('Wwh65');
BC_DeleteSvc('Wmc03');
BC_DeleteSvc('Ukx27');
BC_DeleteSvc('Rfk67');
BC_DeleteSvc('Hfa07');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Выполните такой скрипт:
Код:
begin
RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
BC_DeleteSvc('Sup33');
BC_DeleteSvc('Six02');
BC_DeleteSvc('Oct62');
BC_DeleteSvc('Bel01');
BC_Activate;
RebootWindows(true);
end.
Повторите лог syscheck.
Да, версию программы пора заменить на более свежую.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вложения
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\kdheh.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based) c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206) c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)