Wigon troyan

[pussylovecat]

Здравствуйте!!! Мне очень нужна Ваша помощь!!!! У меня на компе завелся Wigon troyan!! Антивирусник у меня НОД. При каждом включении компьютера он выдает что удален какой-то зараженный файл(сегодня, например, C:/WINDOWS/system32/drivers/Winmr26.sys модифицированный Wigon troyan). Началось это с 26.05.2008. В безопасный режим не могу зайти. Выдает:на черном экране первый раз-Press Esc to cancel loading SPTP.sys, потом сразу же Press Esc to cancel loading a347byc.sys. Я пропустила этот пункт. Скачала остальные утилиты. Обновила базы. У меня возникла проблема: как отключить нод?(просто отключить защиту от вирусов и шп.программ? или вообще удалить его? или как он отключается?? Интернет с Вашим сайтом можно оставить?? ПОЖАЛУЙСТА, ПОМОГИТЕ!!!

[zerocorporated]

У меня возникла проблема: как отключить нод?(просто отключить защиту от вирусов и шп.программ? или вообще удалить его? или как он отключается?? Интернет с Вашим сайтом можно оставить?? ПОЖАЛУЙСТА, ПОМОГИТЕ!!!

По значку NOD-а -> отключить/закрыть/остановить/выход (что то подобное будет)

Или два раза по значку щелкните (Чтоб окно программы появилось) там отключить/закрыть/остановить/выход (что то подобное будет)


Между 7 и 8 пунктами правил написано как нужно сделать.

[pussylovecat]

Вот...что у меня получилось

[pussylovecat]

Все правильно?? Или я что-то сделала не так??

[Гриша]

Нод по-ходу теперь продается вместе с булкнетом подумайте о замене антивируса!

Отключите антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{FFFFFFFF-DAD2-4a4c-848D-2CBFC6F0FD21}');
 QuarantineFile('bsn32.dll','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('c:\89y6cz.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winye48.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc48.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwb26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winns04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winko04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winim72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winim04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winej15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincg26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincg15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf61.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vae50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tyd83.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Quy15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ptx50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Otx26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fjn04.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\lmprlh.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Dim72.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteService('Winye48');
 DeleteService('Winxc48');
 DeleteService('Winwb26');
 DeleteService('Winsw72');
 DeleteService('Winqu85');
 DeleteService('Winnr83');
 DeleteService('Winnr37');
 DeleteService('Winnr15');
 DeleteService('Winlp83');
 DeleteService('Winlp04');
 DeleteService('Winkp50');
 DeleteService('Winko04');
 DeleteService('Winjo72');
 DeleteService('Winjn83');
 DeleteService('Winim72');
 DeleteService('Winim04');
 DeleteService('Winhl72');
 DeleteService('Winfj50');
 DeleteService('Winfj27');
 DeleteService('Winej15');
 DeleteService('Winei50');
 DeleteService('Wincg26');
 DeleteService('Wincg15');
 DeleteService('Winbf61');
 DeleteService('Vae50');
 DeleteService('Tyd83');
 DeleteService('tcpsr');
 DeleteService('Quy15');
 DeleteService('Ptx50');
 DeleteService('Otx26');
 DeleteService('Nrv15');
 DeleteService('Fjn04');
 DeleteService('dpti930');
 DeleteService('Dim72');     
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Dim72.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\lmprlh.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fjn04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nrv15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Otx26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ptx50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Quy15.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tyd83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vae50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbf61.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincg15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincg26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfj27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfj50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhl72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winim04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winim72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjn83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winko04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlp04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlp83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnr37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnr83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqu85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsw72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxc48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');
 DeleteFile('c:\89y6cz.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('bsn32.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин и повторите логи.

[pussylovecat]

я выполнила скрипт. Компьютер сам автоматически перезагрузился. Не совсем поняла..в смысле "прислать карантин"?? А где он? Это значит сделать пункты правил с 8 по 13???? Или нет...?

Добавлено через 10 минут

Если имеется в виду карантин avz, то сейчас там находятся файлы:C:\WINDOWS\system32\bsn32.dll;
C:\WINDOWS\system32\WinCtrl32.dll

Добавлено через 10 минут

Ну где же Вы?!!! Объясните, please!!! Или это надо заходить в сам карантин...выделить эти файлы и заархивировать?? А то я сейчас натворю дел...

Добавлено через 3 минуты

Я нажала сверху "Прислать запрошенный карантин". И загрузила файл... Я пока все правильно сделала? Теперь повторяю логи

[Гриша]

Не спешите,вы у нас не одни...

Карантин пришлите согласно приложению 3 правил

Повторить логи это значит выполнить пункты 8-13

[pussylovecat]

Простите, пожалуйста... я все понимаю...не буду торопиться..и паниковать..

а вот логи...

[pussylovecat]

а до вас дошел карантин? или я что-то не то сделала?

[Гриша]

Уже почти хорошо

Пофиксить

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Xcg83');
 DeleteService('Winwb26');
 DeleteService('Winot48');
 DeleteService('Winnr15');
 DeleteService('Winej73');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnr15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winot48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwb26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xcg83.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xcg83 ');
BC_DeleteSvc('Winwb26 ');
BC_DeleteSvc('Winot48 ');
BC_DeleteSvc('Winnr15 ');
BC_DeleteSvc('Winej73 ');
BC_Activate;
RebootWindows(true);
end.

Повторите логи с п.10 правил

[pussylovecat]

Вот они...

[pussylovecat]

я хоть то прислала?? два вложения нужно было?

Добавлено через 1 минуту

а как насчет карантина?...все в норме?..

[Гриша]

Чисто,жалобы есть?

[pussylovecat]

О,БОЖЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!СПАСИБО!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ОГРОМЕННОЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!НЕТ СЛОВ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!
Очень-очень прошу, пожалуйста...ответте на вопросы, которые мне совсем покоя не дают!!!
1.Мой компьютер теперь полностью чист??????
2Данный вирус был сильно опасен? Откуда цепляются вирусы??(в основном сижу в аське, вконтакте и на рамблере...скачиваю мало...только если песни с зайцев нет)-отсюда??
3.Система теперь будет полноценно работать или возможны сбои?
4. Подскажите, ПОЖАЛУЙСТА, что делать, чтобы вирусов больше не было...у меня вечная с ними проблема.(на старом компе как-то было 2600 вирусов!!) и на этом месяц назад было 500! Какой антивирусник лучше поставить, чтобы операционную систему не перегружал и макс защищал??
5.Можно пользоваться Maxthon? или нежелательно?
6.Иногда, когда загружаются какие-нибудь страницы ...выдается ошибка сценария. Это нормально или вирус?
7.А если у меня будут еще проблемы или вопросы, мне начинать новую тему?
Если Вы мне поможете еще и ответами на эти вопросы...я буду БЕСКОНЕЧНО Вам БЛАГОДАРНА!!!!!!!!!!!!!!!!

[Гриша]

1.Да(очистите временные папки и кеш браузера)
2.Да,от вас рассылался спам,подцепить можно где угодно...
3.Вполне возможно
4.KIS+прочитать это http://security-advisory.virusinfo.info/
5.Не нужно,лучше FF или Opera
6.Это нормально...
7.Да



Good Luck!!!

[pussylovecat]

и еще..System Volume Information-пустая папка на диске Д, Thumbs.db-везде, RECYCLER-на Д(но там есть программка anti_autorun.exe)-это нормально?? или вирус?

Добавлено через 6 минут

Еще один вопросик..последний,наверно...:" очистите временные папки и кеш браузера" -это как?...мне стыдно, конечно...но я не знаю... Подскажите, пожалуйста!

Добавлено через 2 минуты

А мне говорили, что KIS много оперативки занимает и это очень вредно для компьютера. А какую версию? Лучше лицензионную или,как все, не тратиться и скачать в интернете?

[Гриша]

Лучше бы не писал

Это так:Пуск,Выполнить,наберите %tmp% и удалите все что там есть...

[pussylovecat]

ну ладно уже...не злитесь на "чайника"...
а на предыдущих два вопроса , please, ответте... и я больше...по крайней мере..в ближайшее время...не побеспокою

[Гриша]

и еще..System Volume Information-пустая папка на диске Д, Thumbs.db-везде, RECYCLER-на Д(но там есть программка anti_autorun.exe)-это нормально?? или вирус?

Нормально...

А мне говорили, что KIS много оперативки занимает и это очень вредно для компьютера. А какую версию? Лучше лицензионную или,как все, не тратиться и скачать в интернете?

Поверьте антивирус(KIS) не вреднее того,что у вас было конечно нужна лицензия,вам саппорт нужен

[pussylovecat]

Еще раз ОГРОМЕННОЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Вы самый ДОБРЫЙ, ТЕРПЕЛИВЫЙ, ЛУЧШИЙ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!
Я,конечно, понимаю, что это Ваша работа...но Вы сделали меня очень счастливой:помимо того, что сегодня второй экзамен на отл.сдала, еще и комп здоров!!!!!!
Всего Вам САМОГО НАИЛУЧШЕГО!!!!!!

Добавлено через 3 минуты

Что такое саппорт?