немогу избавиться от этого надоедливого вигона, засел в winlogone и выходить не собирается
C:\WINDOWS\system32\WinCtrl32.dll Win32/Wigon
немогу избавиться от этого надоедливого вигона, засел в winlogone и выходить не собирается
C:\WINDOWS\system32\WinCtrl32.dll Win32/Wigon
Нужны логи по правилам: http://virusinfo.info/showthread.php?t=1235
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
up
Последний раз редактировалось taxox; 05.11.2008 в 11:26.
Отключите восстановление системы!
На время выполнения фикса и скрипта отключите интернет и антивирус.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Winlp82'); StopService('Vbe36'); SetServiceStart('Winlp82', 4); SetServiceStart('Vbe36', 4); QuarantineFile('C:\WINDOWS\system32\prxsvc.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dhk58.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winlp82.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vbe36.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dhk58.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; BC_DeleteSvc('Dhk58'); BC_DeleteSvc('Winlp82'); BC_DeleteSvc('Vbe36'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24624).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
up
Файл закачан
Последний раз редактировалось taxox; 05.11.2008 в 11:26.
1. Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip, распакуйте, запустите, слева внизу нажмите File. Найдите следующие файлы:
C:\WINDOWS\system32\Drivers\Winlp82.sys
C:\WINDOWS\system32\Drivers\Vbe36.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Нажмите на каждый правой кнопкой и выберите Force Felete.
2. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\prxsvc.exe',''); QuarantineFile('C:\WINDOWS\system32\prxsvc.dll',''); DeleteFile('C:\WINDOWS\system32\prxsvc.dll'); DeleteFile('C:\WINDOWS\system32\prxsvc.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winlp82'); BC_DeleteSvc('Vbe36'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Повторите логи, начиная с п.10 правил.
I am not young enough to know everything...
up
файл загружен
Последний раз редактировалось taxox; 05.11.2008 в 11:26.
All right, everybody be cool, this is a robbery!
нарушил правило, но при сканировании программой AVZ после третьего пункта сканирования дисков у меня в окне сообщений qip появилось следующее:
testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttest
All right, everybody be cool, this is a robbery!
BitAccelerator,VirtualNetwork- деисталировать .....
пофиксите ....
повторите логи начиная с пункта 10 правил ...Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O21 - SSODL: prxsvc - {153C2CE9-2112-4DEB-931D-365508CEEDF2} - prxsvc.dll (file missing)
насчет testtesttesttesttestt ... это работа авз - так ищутся клавиатурные перехватчики ... только не припомню что бы в правилах было написано , что при проверке авз нужно запускать квип ... видимо склероз ....
я ж говорю, нарушил правило и запустил его, сейчас все сделаю
All right, everybody be cool, this is a robbery!
up
Последний раз редактировалось taxox; 05.11.2008 в 11:26.
All right, everybody be cool, this is a robbery!
удалите временные интернет файлы .... больше ничего подозрительного ...
спасибо огромное
еще вопрос, как нужно устраивать безопасностью компьютера, у меня стоит только NOD , сейчас скачал agnitum firewall буду настраивать. может еще что то ?
All right, everybody be cool, this is a robbery!
По возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
еще раз спасибо
All right, everybody be cool, this is a robbery!
Уважаемый(ая) taxox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.