Trojan.Dowload и Win32Wigon.CK trojan

[Fate]

Приветствую, Вас, Боги антивирусов.
Прошу помщи в лечении от зловредов.
Ситуация такова: на компе 4 подключения к интернету - диалап (через встроенный проводной модем), диалап (через внешние USB CDMA модемы -2 подключения (PeopleNet и CDMA Украина)) и LAN.
В последнее время наиболее часто использовалось подключение к PeopleNet. После подключения NOD32 выдает сообщение о вирусе Win32Wigon. CK trojan и отправляет файл в карантин. Internet Explorer и The Bat еще не запущены а уже идет "левый" трафик 5-10 кБайт/сек. Глубокая проверка NOD32 ничего не находит. После выхода компа из спящего режима ни через одно из диалап подключений в интернет выйти нельзя, только после перезагрузки. Затем "картина" повторяется снова. Интересно, что при выходе в интернет через LAN всё вроде работает гладко и вирус не активизируется.
Прочитал Ваши правила, сделал всё как Вы рекомендовали. На этапе прверки утилитой CureIT был найден Trojan.Dowload.3503 в файле winctrl32.dll. Во вложении все необходимые файлы.

Зранее Вам благодарен

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('aspnet_stateRasMan');
 DeleteService('btwdinsLmHosts');
 DeleteService('ClipSrvRemoteAccess');
 DeleteService('COMSysAppCryptSvc');
 DeleteService('CryptSvcMessenger');
 DeleteService('DhcpTermService');
 DeleteService('dmadminVSS');
 DeleteService('ERSvc Service');
 DeleteService('Faxgusvc');
 DeleteService('FaxSCardSvrSharedAccess');
 DeleteService('FspadSvcProtectedStorage');
 DeleteService('FspadSvcProtectedStoragenapagent');
 DeleteService('FspadSvcProtectedStoragenapagentHTTPFilter');
 DeleteService('FspadSvcProtectedStoragenapagentHTTPFilterlanmanserver');
 DeleteService('ThemesWmiApSrv');
 DeleteService('SSDPSRVNOD32krnCryptSvc');
 DeleteService('SSDPSRVNOD32krnAppMgmt');
 DeleteService('SSDPSRVNOD32krn');
 DeleteService('SpoolerERSvc');
 DeleteService('SCardSvrSharedAccessclr_optimization_v2.0.50727_32');
 DeleteService('SCardSvrSharedAccess');
 DeleteService('PlugPlaymnmsrvc');
 DeleteService('oseFastUserSwitchingCompatibility');
 DeleteService('NVSvcLmHosts');
 DeleteService('NVSvcEventlog');
 DeleteService('NVSvcAudioSrv');
 DeleteService('NtmsSvcwinmgmt');
 DeleteService('NtLmSspPlugPlay');
 DeleteService('LmHostsRpcSsNladmserver');
 DeleteService('LmHostsRpcSsNla');
 DeleteService('LmHostsRpcSs');
 DeleteService('helpsvcWmdmPmSN');
 DeleteService('WZCSVCERSvc');
 DeleteService('wscsvcCryptSvcRSVP');
 DeleteService('wscsvcCryptSvcCryptSvcMessenger');
 DeleteService('wscsvcCryptSvc');
 DeleteService('WmdmPmSNCiSvc');
 DeleteService('winmgmtVSSNetman');
 DeleteService('winmgmtVSS');
 DeleteService('winmgmtMSDTC');
 DeleteService('Winyi43');
 DeleteService('Winxi55');
 DeleteService('Winwe75');
 DeleteService('Winvg21');
 DeleteService('Winvg12');
 DeleteService('Winuf00');
 DeleteService('Winsb64');
 DeleteService('Winmv43');
 DeleteService('Winlu21');
 DeleteService('Winks86');
 DeleteService('Winjr43');
 DeleteService('Winis22');
 DeleteService('Winhq65');
 DeleteService('Wingq34');
 DeleteService('Wingq33');
 DeleteService('Winfn53');
 DeleteService('Windo88');
 DeleteService('Windm33');
 DeleteService('Wincn23');
 DeleteService('Winbm01');
 DeleteService('Winai08');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyi43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi55.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe75.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg21.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg12.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuf00.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsb64.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmv43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winks86.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjr43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winis22.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhq65.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingq34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingq33.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windo88.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windm33.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincn23.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbm01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winai08.sys','');
 DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winai08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbm01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincn23.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windm33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windo88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfn53.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingq33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingq34.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhq65.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winis22.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjr43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winks86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlu21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsb64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuf00.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvg12.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvg21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwe75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxi55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyi43.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('aspnet_stateRasMan');
 BC_DeleteSvc('btwdinsLmHosts');
 BC_DeleteSvc('ClipSrvRemoteAccess');
 BC_DeleteSvc('COMSysAppCryptSvc');
 BC_DeleteSvc('CryptSvcMessenger');
 BC_DeleteSvc('DhcpTermService');
 BC_DeleteSvc('dmadminVSS');
 BC_DeleteSvc('ERSvc Service');
 BC_DeleteSvc('Faxgusvc');
 BC_DeleteSvc('FaxSCardSvrSharedAccess');
 BC_DeleteSvc('FspadSvcProtectedStorage');
 BC_DeleteSvc('FspadSvcProtectedStoragenapagent');
 BC_DeleteSvc('FspadSvcProtectedStoragenapagentHTTPFilter');
 BC_DeleteSvc('FspadSvcProtectedStoragenapagentHTTPFilterlanmanserver');
 BC_DeleteSvc('ThemesWmiApSrv');
 BC_DeleteSvc('SSDPSRVNOD32krnCryptSvc');
 BC_DeleteSvc('SSDPSRVNOD32krnAppMgmt');
 BC_DeleteSvc('SSDPSRVNOD32krn');
 BC_DeleteSvc('SpoolerERSvc');
 BC_DeleteSvc('SCardSvrSharedAccessclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('SCardSvrSharedAccess');
 BC_DeleteSvc('PlugPlaymnmsrvc');
 BC_DeleteSvc('oseFastUserSwitchingCompatibility');
 BC_DeleteSvc('NVSvcLmHosts');
 BC_DeleteSvc('NVSvcEventlog');
 BC_DeleteSvc('NVSvcAudioSrv');
 BC_DeleteSvc('NtmsSvcwinmgmt');
 BC_DeleteSvc('NtLmSspPlugPlay');
 BC_DeleteSvc('LmHostsRpcSsNladmserver');
 BC_DeleteSvc('LmHostsRpcSsNla');
 BC_DeleteSvc('LmHostsRpcSs');
 BC_DeleteSvc('helpsvcWmdmPmSN');
 BC_DeleteSvc('WZCSVCERSvc');
 BC_DeleteSvc('wscsvcCryptSvcRSVP');
 BC_DeleteSvc('wscsvcCryptSvcCryptSvcMessenger');
 BC_DeleteSvc('wscsvcCryptSvc');
 BC_DeleteSvc('WmdmPmSNCiSvc');
 BC_DeleteSvc('winmgmtVSSNetman');
 BC_DeleteSvc('winmgmtVSS');
 BC_DeleteSvc('winmgmtMSDTC');
 BC_DeleteSvc('Winyi43');
 BC_DeleteSvc('Winxi55');
 BC_DeleteSvc('Winwe75');
 BC_DeleteSvc('Winvg21');
 BC_DeleteSvc('Winvg12');
 BC_DeleteSvc('Winuf00');
 BC_DeleteSvc('Winsb64');
 BC_DeleteSvc('Winmv43');
 BC_DeleteSvc('Winlu21');
 BC_DeleteSvc('Winks86');
 BC_DeleteSvc('Winjr43');
 BC_DeleteSvc('Winis22');
 BC_DeleteSvc('Winhq65');
 BC_DeleteSvc('Wingq34');
 BC_DeleteSvc('Wingq33');
 BC_DeleteSvc('Winfn53');
 BC_DeleteSvc('Windo88');
 BC_DeleteSvc('Windm33');
 BC_DeleteSvc('Wincn23');
 BC_DeleteSvc('Winbm01');
 BC_DeleteSvc('Winai08');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Fate]

Всё выполнил, вот новые логи

[V_Bond]

пофиксите ...

Код:

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm427YYDE

больше ничего плохого ...

[Fate]

ОГРОМНОЕ СПАСИБО! Очень Вам благодарен!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 38
• В ходе лечения вредоносные программы в карантинах не обнаружены