Junior Member
Вес репутации
58
Win32/Wigon.CK
Все так же, как и это посте
"После чтения провокационного эл. письма о сообщении якобы с сайта
www.odnoklassniki.ru (купился!) из Инета загружен вирус. При отключенном инете Cure It полностью вычищает комп. Проверка AVZ и HiJack проводилась при подключенном инете, выключенном восстановлении системы и выключенном резидентно NOD32.
При перезагрузке компа, NOD активируется и перехватывает вирусный драйвер."
В первый раз неизвестно откуда все это появилось. Но после запуска Cure It несколько недель назад всё пропало. И вот теперь письмо с одноклассников и все заново, единственное, что теперь NOD32 распознает только 1 вирус Win32/Wigon.CK, раньше же были ещё Trojan.Rntm.10, Trojan.Downloader.63553.
NOD 32 выдает следующее:
Файл C:\WINDOWS\System32\drivers\Winos72.sys
Вирус Win32/Wigon.CK троян
Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN12.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
Файлы *.sys и *.tmp каждый раз имеют разные названия
Подскажите пожалуйста, как быть, уже устала от него.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\R4BIYZUM\load[1].exe','');
QuarantineFile('C:\Documents and Settings\Yana\Local Settings\Temp\winwQMx046Y.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
BC_DeleteSvc('Winyf16');
BC_DeleteSvc('Winye84');
BC_DeleteSvc('Winye05');
BC_DeleteSvc('Winxf16');
BC_DeleteSvc('Winxd84');
BC_DeleteSvc('Winwe40');
BC_DeleteSvc('Winwe15');
BC_DeleteSvc('Winwe05');
BC_DeleteSvc('Winvb40');
BC_DeleteSvc('Winub04');
BC_DeleteSvc('Winua27');
BC_DeleteSvc('Winty38');
BC_DeleteSvc('Winty15');
BC_DeleteSvc('Winsy83');
BC_DeleteSvc('Winsy61');
BC_DeleteSvc('Winsy05');
BC_DeleteSvc('Winsx52');
BC_DeleteSvc('Winsa27');
BC_DeleteSvc('Winrx27');
BC_DeleteSvc('Winrw84');
BC_DeleteSvc('Winrw83');
BC_DeleteSvc('Winqw61');
BC_DeleteSvc('Winqv72');
BC_DeleteSvc('Winqv05');
BC_DeleteSvc('Winpv61');
BC_DeleteSvc('Winou84');
BC_DeleteSvc('Winot37');
BC_DeleteSvc('Winms38');
BC_DeleteSvc('Winmq84');
BC_DeleteSvc('Winls27');
BC_DeleteSvc('Winkq26');
BC_DeleteSvc('Winkp37');
BC_DeleteSvc('Winkp27');
BC_DeleteSvc('Winkp26');
BC_DeleteSvc('Winjp51');
BC_DeleteSvc('Winjp27');
BC_DeleteSvc('Winjo73');
BC_DeleteSvc('Winjo15');
BC_DeleteSvc('Winjn05');
BC_DeleteSvc('Winin51');
BC_DeleteSvc('Winho40');
BC_DeleteSvc('Winhm84');
BC_DeleteSvc('Winhm15');
BC_DeleteSvc('Winhl27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn51.sys','');
BC_DeleteSvc('Wingn51');
BC_DeleteSvc('Wingm73');
BC_DeleteSvc('Wingl84');
BC_DeleteSvc('Wingl05');
BC_DeleteSvc('Winfk72');
BC_DeleteSvc('Winfk48');
BC_DeleteSvc('Winfk16');
BC_DeleteSvc('Winek62');
BC_DeleteSvc('Winej40');
BC_DeleteSvc('Winej38');
BC_DeleteSvc('Windi62');
BC_DeleteSvc('Winbh84');
BC_DeleteSvc('Winbg05');
BC_DeleteSvc('Winah73');
BC_DeleteSvc('Winag63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
BC_DeleteSvc('Winag51');
BC_DeleteSvc('Wch37');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wch37.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('Sye48');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye48.sys','');
BC_DeleteSvc('Rxc51');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxc51.sys','');
BC_DeleteSvc('Rxc05');
BC_DeleteSvc('Qwb62');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwb62.sys','');
BC_DeleteSvc('Ouy40');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ouy40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpt40.sys','');
BC_DeleteSvc('Jpt40');
BC_DeleteSvc('Jot27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jot27.sys','');
BC_DeleteSvc('xmlprovSamSs');
BC_DeleteSvc('WZCSVCRichVideo');
BC_DeleteSvc('wuauservaspnet_state');
BC_DeleteSvc('WMPNetworkSvcAppMgmtwuauservaspnet_state');
BC_DeleteSvc('WMPNetworkSvcAppMgmtSpooleraspnet_stateSQLAgent$PINNACLESYS');
BC_DeleteSvc('WMPNetworkSvcAppMgmtSpooleraspnet_state');
BC_DeleteSvc('WMDMSSDPSRV');
BC_DeleteSvc('WebClientwinmgmtMSIServer');
BC_DeleteSvc('WebClientwinmgmt');
BC_DeleteSvc('W32TimeWebClientwinmgmtMSIServer');
BC_DeleteSvc('TrkWksERSvc');
BC_DeleteSvc('ThemesNetDDEdsdm');
BC_DeleteSvc('TermServicePolicyAgent');
BC_DeleteSvc('SysmonLogWebClient');
BC_DeleteSvc('SQLAgent$PINNACLESYSWMPNetworkSvc');
BC_DeleteSvc('Spooleraspnet_state');
BC_DeleteSvc('SENSLmHosts');
BC_DeleteSvc('SamSsSharedAccesswuauservaspnet_state');
BC_DeleteSvc('SamSsSharedAccessupnphost');
BC_DeleteSvc('SamSsSharedAccess');
BC_DeleteSvc('SamSs Service for CDROM Access');
BC_DeleteSvc('RDSessMgrRpcSs');
BC_DeleteSvc('RasMan LM Service');
BC_DeleteSvc('RasAutohelpsvc');
BC_DeleteSvc('ProtectedStoragewuauservaspnet_state');
BC_DeleteSvc('NtmsSvcCryptSvc');
BC_DeleteSvc('Nlawscsvc');
BC_DeleteSvc('NetmanNetDDE');
BC_DeleteSvc('MSSQL$PINNACLESYSSENS');
BC_DeleteSvc('Eventlogdmservermnmsrvc');
BC_DeleteSvc('Eventlogdmserver');
BC_DeleteSvc('Creativestisvc');
BC_DeleteSvc('CreativeWebClientwinmgmtMSIServer');
BC_DeleteSvc('CreativeRasAutowinmgmt');
BC_DeleteSvc('CreativeRasAuto');
BC_DeleteSvc('COMSysAppSCardSvr');
BC_DeleteSvc('COMSysAppdmserver');
BC_DeleteSvc('ClipSrvWmdmPmSN');
BC_DeleteSvc('CCALib8ERSvc');
BC_DeleteSvc('AlerterBrowser');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Jot27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpt40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ouy40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxc05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxc51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sye48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winho40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxf16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf16.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temp\winwQMx046Y.exe');
DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\R4BIYZUM\load[1].exe');
DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\ZF9LD5XE\load[1].exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winsx26');
BC_DeleteSvc('Winlr73');
BC_DeleteSvc('Winio16');
BC_DeleteSvc('Winin84');
BC_DeleteSvc('ethshrpy');
QuarantineFile('C:\WINDOWS\system32\drivers\ethshrpy.sys','');
BC_DeleteSvc('wscsvcCCALib8');
BC_DeleteSvc('WMPNetworkSvcAppMgmt');
BC_DeleteSvc('upnphostNetlogon');
DeleteFile('C:\WINDOWS\system32\drivers\ethshrpy.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx26.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
58
эх...наверно это просто запущенный случай...
Вложения
пофиксите ...
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
выполните скрипт ....
Код:
begin
BC_DeleteSvc('xmlprovSCardSvr');
BC_Activate;
RebootWindows(true);
end.
какие -то проблемы остались ?
Junior Member
Вес репутации
58
NOD32 больше не ругается
спасибо огромное =)
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 17 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\yana\\local settings\\temporary internet files\\content.ie5\\r4biyzum\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932) c:\\documents and settings\\yana\\local settings\\temporary internet files\\content.ie5\\zf9ld5xe\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932) c:\\documents and settings\\yana\\local settings\\temp\\winwqmx046y.exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932) c:\\windows\\system32\\drivers\\ethshrpy.sys - Rootkit.Win32.Agent.bcf (DrWEB: Trojan.Spambot.347 c:\\windows\\system32\\~.exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932) c:\\windows\\system32\\ipv6monl.dll - Trojan-Spy.Win32.BZub.ebz (DrWEB: Trojan.PWS.Tanspy.1462) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aml (DrWEB: Trojan.DownLoader.63553)