При входе в Интернет NOD32 обнаруживает троян:
Файл: C:\WINDOWS\System32\drivers\Winua72.sys (последний файл каждый раз меняется)
Вирус: win32/Wigon.CK троян
Заранее спасибо.
При входе в Интернет NOD32 обнаруживает троян:
Файл: C:\WINDOWS\System32\drivers\Winua72.sys (последний файл каждый раз меняется)
Вирус: win32/Wigon.CK троян
Заранее спасибо.
Скачайте IceSword , поищите и удалите через опцию force delete файл:
ОтключитеКод:C:\WINDOWS\system32\WinCtrl32.dll
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\mrinfo.dll (file missing) O4 - HKLM\..\Run: [splant] C:\WINDOWS\System32\splant.exe O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe" /r OO4 - HKCU\..\Run: [Firewall auto setup] C:\WINDOWS\system32\wpx9.cpx O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - C:\WINDOWS\System32\wm5dap.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}'); DeleteService('W32Timelanmanserver'); DeleteService('TlntSvrwinmgmt'); DeleteService('TlntSvrdmadmin'); DeleteService('RSVPSENS'); DeleteService('RpcSsmnmsrvcRasAuto'); DeleteService('RDSessMgrmnmsrvc'); DeleteService('NtmsSvcseclogon'); DeleteService('msscenter'); DeleteService('mnmsrvcRasAuto'); DeleteService('FastUserSwitchingCompatibilityW32Timelanmanserver'); DeleteService('dmadminseclogon'); DeleteService('BITSSpooler'); DeleteService('BITSRasAuto'); DeleteService('Rxc15'); DeleteService('Winwc50'); DeleteService('Winsy84'); DeleteService('Winpv15'); DeleteService('Winpu61'); DeleteService('Winlr83'); DeleteService('Winin50'); DeleteService('Winhn15'); DeleteService('Winfk04'); DeleteService('Windi72'); DeleteService('Winag04'); QuarantineFile('C:\Documents and Settings\ADMIN\Local Settings\Temp\winnmKRr1ds4AqC.exe',''); QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxc15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winin50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windi72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winag04.sys',''); QuarantineFile('C:\WINDOWS\System32\wm5dap.dll',''); QuarantineFile('c:\windows\system32\mrinfo.dll',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\loader.exe',''); QuarantineFile('C:\WINDOWS\twain_8.dll',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('C:\WINDOWS\twain_8.dll'); DeleteFile('c:\docume~1\admin\locals~1\temp\loader.exe'); DeleteFile('c:\windows\system32\mrinfo.dll'); DeleteFile('C:\WINDOWS\System32\wm5dap.dll'); DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winag04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsy84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxc15.sys'); DeleteFile('C:\WINDOWS\System32\msscntr32.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\Documents and Settings\ADMIN\Local Settings\Temp\winnmKRr1ds4AqC.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\twain_8.dll'); BC_Activate; end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
ПС: Папе Вашему скажите, что систему обновлять нужно
а то у Вас там скоро и крокодилы заведутся.Код:Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Вроде бы все сделал и файлы карантина отослал. Спасибо за внимание
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\~.exe',''); QuarantineFile('C:\WINDOWS\vcdplayx.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); DeleteService('Winua72'); DeleteService('W32Timelanmanserver'); DeleteService('TlntSvrwinmgmt'); DeleteService('TlntSvrdmadmin'); DeleteService('RSVPSENS'); DeleteService('RpcSsmnmsrvcRasAuto'); DeleteService('RDSessMgrmnmsrvc'); DeleteService('NtmsSvcseclogon'); DeleteService('mnmsrvcRasAuto'); DeleteService('FastUserSwitchingCompatibilityW32Timelanmanserver'); DeleteService('dmadminseclogon'); DeleteService('BITSSpooler'); DeleteService('BITSRasAutoRasMan'); DeleteService('BITSRasAuto'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua72.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\~.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winua72'); BC_DeleteSvc('W32Timelanmanserver'); BC_DeleteSvc('TlntSvrwinmgmt'); BC_DeleteSvc('TlntSvrdmadmin'); BC_DeleteSvc('RSVPSENS'); BC_DeleteSvc('RpcSsmnmsrvcRasAuto'); BC_DeleteSvc('RDSessMgrmnmsrvc'); BC_DeleteSvc('NtmsSvcseclogon'); BC_DeleteSvc('BITSSpooler'); BC_DeleteSvc('BITSRasAutoRasMan'); BC_DeleteSvc('BITSRasAuto'); BC_Activate; RebootWindows(true); end.
Скрипт запустилю Логи прикрерляю
Вчера вечером отправил логи. Какие результаты? Спасибо.
Вы спали ночью? Мы тоже
Выполните скрипт
После перезагрузки закачайте карантин, повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('dmadminseclogon'); DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}'); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\twain_8.dll',''); DeleteFile('C:\WINDOWS\twain_8.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('dmadminseclogon'); BC_DeleteFile('C:\WINDOWS\twain_8.dll'); BC_Activate; executerepair(6); executerepair(9); executerepair(17); RebootWindows(true); end.
Скрипт выполннил.
NOD уже ничего не показывает
В логах чисто.
Систему срочно пропатчить - установить в оффлайне Сервис Пак 1 или 2, потом Сервис Пак 3 (его можно скачать по ссылке в моей подписи).
При установке сервиспаков антивирус отключить!!!
После установки посетить сервер обновлений и установить все важные обновления: www.windowsupdate.com
Последний раз редактировалось Rene-gad; 05.08.2008 в 13:49.
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.ask (DrWEB: Trojan.DownLoad.2077)
- c:\\documents and settings\\admin\\local settings\\temp\\winnmkrr1ds4aqc.exe - Email-Worm.Win32.Bagle.aav (DrWEB: Trojan.Starter.551)
- c:\\docume~1\\admin\\locals~1\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.ask (DrWEB: Trojan.DownLoad.2077)
- c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.ogp (DrWEB: Trojan.MulDrop.18267)
- c:\\windows\\system32\\~.exe - Email-Worm.Win32.Bagle.aav (DrWEB: Trojan.Starter.551)
- c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.jwi (DrWEB: Trojan.PWS.Lich)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aub (DrWEB: BackDoor.Bulknet.225)
- c:\\windows\\system32\\wm5dap.dll - Email-Worm.Win32.Bagle.aav (DrWEB: Trojan.PWS.Wow.1067)
- c:\\windows\\twain_8.dll - not-a-virus:AdWare.Win32.XmlMimeFilter.k (DrWEB: Adware.XMLMime.1)
Уважаемый(ая) Alex58, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.