-
Junior Member
- Вес репутации
- 58
пропал Dektop, иконки, старт меню. троян Win32/Wigon.CK и другие
Здравстуйте!
Вот уже несколько дней безуспешно борюсь с пропажей Dektop'а,иконок и старт меню. NOD32 нашел троян Win32/Wigon.CK в C:\System Volume Information\_restore и кое-какие адвары.
После этого AVZ еще находил "подозрение на Backdoor.Win32.Peanut.c" , "Подозрение на Keylogger или троянскую DLL". Symantec online scan нашел Trojan.pandex.
Все было удалено, но Dektop'а,иконок все равно нет.
Посмотрите, пожалуйста, логи! Не хотелось бы форматировать диск..
Последний раз редактировалось xxxp; 12.09.2008 в 18:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxf41.sys
и сделайте им Force Delete.
3. Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
4. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
DelBHO('{CAE49279-0869-477C-9B89-AD5E060EF55C}');
QuarantineFile('C:\WINDOWS\system32\womwfysw.dll','');
QuarantineFile('C:\WINDOWS\system32\tdlpqciw.dll','');
QuarantineFile('C:\WINDOWS\system32\otpnipng.dll','');
QuarantineFile('C:\WINDOWS\system32\loader.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\bxniclyl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
StopService('Winxf41');
DeleteService('Winxf41');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxf41.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\geBrqrSJ.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnoLBqO.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxf41.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\otpnipng.dll');
DeleteFile('C:\WINDOWS\system32\tdlpqciw.dll');
DeleteFile('C:\WINDOWS\system32\womwfysw.dll');
DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
DeleteFile('C:\WINDOWS\system32\bxniclyl.dll');
DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25194
________________
После всего этого повторите логи.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Kuzz, спасибо за быстрый ответ!
IceSword недоступен по той ссылке, которую Вы предоставили! Укажите, пожалуйста, другое безопасное место, откуда можно скачать эту программу.
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Kuzz, большое Вам спасибо, появился Desktop, иконки и старт меню. Как Вас отблагодарить?
Карантин отправил, сейчас сканю AVZ'ом.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось xxxp; 12.09.2008 в 18:41.
-
Junior Member
- Вес репутации
- 58
Ребята, я смотрю у вас полный аншлаг. Не забудьте про меня!
-
Бывает и "полный аншлаг"..
Так вроде все чисто, но остались хвосты, которые лучше удалить:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
DelBHO('{051C7A7C-810F-4DC7-A981-D56F519AF3F5}');
DeleteFile('WgaLogon.dll');
DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
ExecuteSysClean;
end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {051C7A7C-810F-4DC7-A981-D56F519AF3F5} - C:\WINDOWS\system32\nnnoLBqO.dll (file missing)
O2 - BHO: (no name) - {C108AE59-C97F-4517-8B74-5590BE3C2A82} - C:\WINDOWS\system32\geBrqrSJ.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: geBrqrSJ - geBrqrSJ.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Эти настройки Вам известны?
Если нет - тоже фиксить.
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tsr.lv:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lv
O17 - HKLM\System\CCS\Services\Tcpip\..\{5795BCFC-28B1-46FC-BB5E-E503F73342C4}: NameServer = 81.198.60.10,195.13.160.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF4A96B-50D6-4571-B6CD-24069C3DFEA4}: NameServer = 159.148.60.20,195.2.96.2
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была. Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?
-
Сообщение от
xxxp
Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была.
Обновлять антивирус обязательно надо. Новые модификации встречаются каждый день.
Сообщение от
xxxp
Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?
Вы хотите услышать что мы хвалим?
Лучший метод выбора - практика и собственное мнение.
Попробуйте, какой вам подойдет.
Еще рекомендуется к прочтению http://security-advisory.virusinfo.info/
Добавлено через 6 минут
В этой ветке обсуждается много антивирусов. Почитайте, присмотритесь.
Последний раз редактировалось Kuzz; 25.06.2008 в 20:09.
Причина: Добавлено
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Ого, спасибо, ценная информация.
Ушел читать.