пропал Dektop, иконки, старт меню. троян Win32/Wigon.CK и другие

[xxxp]

Здравстуйте!
Вот уже несколько дней безуспешно борюсь с пропажей Dektop'а,иконок и старт меню. NOD32 нашел троян Win32/Wigon.CK в C:\System Volume Information\_restore и кое-какие адвары.
После этого AVZ еще находил "подозрение на Backdoor.Win32.Peanut.c" , "Подозрение на Keylogger или троянскую DLL". Symantec online scan нашел Trojan.pandex.
Все было удалено, но Dektop'а,иконок все равно нет.
Посмотрите, пожалуйста, логи! Не хотелось бы форматировать диск..

[Kuzz]

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxf41.sys
и сделайте им Force Delete.

3. Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

4. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
 DelBHO('{CAE49279-0869-477C-9B89-AD5E060EF55C}');
 QuarantineFile('C:\WINDOWS\system32\womwfysw.dll','');
 QuarantineFile('C:\WINDOWS\system32\tdlpqciw.dll','');
 QuarantineFile('C:\WINDOWS\system32\otpnipng.dll','');
 QuarantineFile('C:\WINDOWS\system32\loader.exe','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\bxniclyl.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
 StopService('Winxf41');
 DeleteService('Winxf41');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winxf41.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\geBrqrSJ.dll','');
 QuarantineFile('C:\WINDOWS\system32\nnnoLBqO.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winxf41.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\otpnipng.dll');
 DeleteFile('C:\WINDOWS\system32\tdlpqciw.dll');
 DeleteFile('C:\WINDOWS\system32\womwfysw.dll');
 DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
 DeleteFile('C:\WINDOWS\system32\bxniclyl.dll');
 DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25194
________________

После всего этого повторите логи.

[xxxp]

Kuzz, спасибо за быстрый ответ!
IceSword недоступен по той ссылке, которую Вы предоставили! Укажите, пожалуйста, другое безопасное место, откуда можно скачать эту программу.

[Kuzz]

http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Упс..

[xxxp]

Kuzz, большое Вам спасибо, появился Desktop, иконки и старт меню. Как Вас отблагодарить?

Карантин отправил, сейчас сканю AVZ'ом.

[xxxp]

Вот.

[xxxp]

Ребята, я смотрю у вас полный аншлаг. Не забудьте про меня!

[Kuzz]

Бывает и "полный аншлаг"..

Так вроде все чисто, но остались хвосты, которые лучше удалить:

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
 DelBHO('{051C7A7C-810F-4DC7-A981-D56F519AF3F5}');
 DeleteFile('WgaLogon.dll');
 DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
 DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
ExecuteSysClean;
end.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 O2 - BHO: (no name) - {051C7A7C-810F-4DC7-A981-D56F519AF3F5} - C:\WINDOWS\system32\nnnoLBqO.dll (file missing)
O2 - BHO: (no name) - {C108AE59-C97F-4517-8B74-5590BE3C2A82} - C:\WINDOWS\system32\geBrqrSJ.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: geBrqrSJ - geBrqrSJ.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Эти настройки Вам известны?
Если нет - тоже фиксить.

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tsr.lv:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lv
O17 - HKLM\System\CCS\Services\Tcpip\..\{5795BCFC-28B1-46FC-BB5E-E503F73342C4}: NameServer = 81.198.60.10,195.13.160.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF4A96B-50D6-4571-B6CD-24069C3DFEA4}: NameServer = 159.148.60.20,195.2.96.2

[xxxp]

Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была. Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?

[Kuzz]

Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была.

Обновлять антивирус обязательно надо. Новые модификации встречаются каждый день.

Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?

Вы хотите услышать что мы хвалим?

Лучший метод выбора - практика и собственное мнение.
Попробуйте, какой вам подойдет.

Еще рекомендуется к прочтению http://security-advisory.virusinfo.info/

Добавлено через 6 минут

В этой ветке обсуждается много антивирусов. Почитайте, присмотритесь.

[xxxp]

Ого, спасибо, ценная информация.
Ушел читать.