Показано с 1 по 16 из 16.

win32_wingon.ck (заявка № 30451)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57

    win32_wingon.ck

    Помогите пожалуйста от избавиться от этого трояна.Каждый раз при запуске системы вылетает окошко с сылкой на директорию C:\windows\system32\drivers\*.sys.(tcpsr.sys,ati4x bxx.sys) Нод32 опредляет его как win32\wigon.ck троян.
    Кидает их на карантин и с каждой загрузкой это повторяется
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('XTrapD12');
     DeleteService('XDva189');
     DeleteService('XDva164');
     DeleteService('XDva132');
     DeleteService('XDva092');
     DeleteService('XDva076');
     DeleteService('XDva074');
     DeleteService('XDva032');
     DeleteService('XDva004');
     DeleteService('Txb04');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Txb04.sys','');
     DeleteService('Lpt03');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lpt03.sys','');
     DeleteService('Fjm04');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fjm04.sys','');
     DeleteService('ati8hkxx');
     DeleteService('ati6cfxx');
     DeleteService('ati4xbxx');
     DeleteService('ati1xbxx');
     DeleteService('ati0xbxx');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xbxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xbxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4xbxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati6cfxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati8hkxx.sys','');
     DeleteService('Iddclatrdr');
     QuarantineFile('Iddclatrdr.sys','');
     DeleteFile('Iddclatrdr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8hkxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6cfxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4xbxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1xbxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0xbxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fjm04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lpt03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Txb04.sys');
     DeleteFile('C:\WINDOWS\system32\XDva004.sys');
     DeleteFile('C:\WINDOWS\system32\XDva032.sys');
     DeleteFile('C:\WINDOWS\system32\XDva074.sys');
     DeleteFile('C:\WINDOWS\system32\XDva076.sys');
     DeleteFile('C:\WINDOWS\system32\XDva092.sys');
     DeleteFile('C:\WINDOWS\system32\XDva164.sys');
     DeleteFile('C:\WINDOWS\system32\XDva189.sys');
     DeleteFile('C:\WINDOWS\system32\XTrapD12.sys');
    BC_ImportDeletedList;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    Надеюсь всё правильно сделал.

    Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.09.2008 в 10:33. Причина: КАРАНТИН В ТЕМЕ 1-е ПРЕДУПРЕЖДЕНИЕ

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\gcj.exe \s
    O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\gcj.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\avo41ws2.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\an40jre6.SYS','');
     QuarantineFile('C:\WINDOWS\system32\XDva132.sys','');
     QuarantineFile('linkdel.cmd','');
     QuarantineFile('and.exe','');
     QuarantineFile('\s','');
     QuarantineFile('Settings\Admin\gcj.exe','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\EGamesPlugin.dll','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\GAMELA~1.OCX','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\DazoinActiveXE.ocx','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\mglaunch_USAv1002.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\EngOrkaWeb.dll','');
     DeleteService('XDva132');
     DeleteFile('Settings\Admin\gcj.exe');
     DeleteFile('\s');
     DeleteFile('and.exe');
     DeleteFile('linkdel.cmd');
     DeleteFile('C:\WINDOWS\System32\Drivers\an40jre6.SYS');
     DeleteFile('C:\WINDOWS\System32\Drivers\avo41ws2.SYS');
     DeleteFile('C:\Documents and Settings\Admin\gcj.exe'); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('XDva132');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    Вот сделал
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\ati6adxx.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys','');
     DeleteService('ati6adxx');
     DeleteService('ati7psxx');
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ati6adxx');
    BC_DeleteSvc('ati7psxx');
    BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    Спасибо что помогаете.А IceSword почему то не запускается
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
    2. Распаковать не в темп-папку, напр. C:\123
    3. Файл 123.pif - переименованный Avenger - запустить
    4. Подтвердить все, откроется окно.
    5. Поставить галку Scan for Rootkits
    6. Скопировать скрипт в окно:
    Код:
    files to delete: 
    C:\WINDOWS\system32\Drivers\ati6adxx.sys
    7. Закрыть все окна кроме Avenger
    8. Запустить программу, все сообщения подтвердить
    9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
    10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению..

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati6adxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ati6adxx');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    Вот ещё
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от NejiKaze Посмотреть сообщение
    А IceSword почему то не запускается
    переименуйте IceSword.ехе в qw.com или wer.pif
    Этот файл
    C:\WINDOWS\System32\Drivers\ati6adxx.sys
    нужно найти и удалить

  12. #11
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    переименуйте IceSword.ехе в qw.com или wer.pif
    Этот файл
    C:\WINDOWS\System32\Drivers\ati6adxx.sys
    нужно найти и удалить
    Всё равно не запускается =\ IceSword
    ati6adxx.sys походу уже удалён

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от NejiKaze Посмотреть сообщение
    ati6adxx.sys походу уже удалён
    Он присутстует в последних логах.
    Выполните скрипт
    Код:
    begin
    setavzpmstatus(true);
    rebootwindows(true);
    end.
    После ребута повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    а теперь
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('ati6adxx');
     BC_DeleteSvc('tcpsr');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    virusinfo_syscheck.zip повторите ....

  16. #15
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    8
    Вес репутации
    57
    вот
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачать ...
    - отключить антивирус
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\Drivers\ati6adxx.sys - direct file content wiping - do operation - закрыть программу..
    - перезагрузится ...
    выполните скрипт ... из поста 14

  • Уважаемый(ая) NejiKaze, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00038 seconds with 19 queries