Пожалуйста помогите такая проблема эти трояны появляютса после каждого их удаления, тоесть каждый раз Нод кричит о них. Win32/Wigon.ck сидит в Winvo25.sys, a Win32/Wigon.EY в Winctrl32.dll
Вот логи:
Пожалуйста помогите такая проблема эти трояны появляютса после каждого их удаления, тоесть каждый раз Нод кричит о них. Win32/Wigon.ck сидит в Winvo25.sys, a Win32/Wigon.EY в Winctrl32.dll
Вот логи:
Последний раз редактировалось Dyron; 30.10.2008 в 19:03.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Без перезагрузкиКод:O4 - HKLM\..\Run: [buritos] buritos.exe O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winir38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winip27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winha38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj58.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wineg47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wincp47.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Wincp47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wineg47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winha38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winip27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winir38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjt38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winka73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlm71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqj14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqp84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintm25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvd73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvo25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwh38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxf16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxn25.sys'); DeleteFile('C:\WINDOWS\system32\blphcc1fj0e715.scr'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_ImportAll; BC_DeleteSvc('wuauservSchedule'); BC_DeleteSvc('wuauservHTTPFilter'); BC_DeleteSvc('WebClientRemoteRegistry'); BC_DeleteSvc('WebClientEventSystemSysmonLogmnmsrvc'); BC_DeleteSvc('WebClientEventSystem'); BC_DeleteSvc('upnphostAlerter'); BC_DeleteSvc('Themessrservice'); BC_DeleteSvc('TapiSrvwscsvc'); BC_DeleteSvc('SysmonLogmnmsrvcNetDDEdsdm'); BC_DeleteSvc('SysmonLogmnmsrvc'); BC_DeleteSvc('srserviceRpcSsSamSs'); BC_DeleteSvc('SENSdmserver'); BC_DeleteSvc('Scheduledmadmin'); BC_DeleteSvc('SCardSvrWmdmPmSN'); BC_DeleteSvc('RpcSsstisvc'); BC_DeleteSvc('RpcSsSamSs'); BC_DeleteSvc('RpcLocatorBrowserHidServNtLmSsp'); BC_DeleteSvc('RpcLocatorBrowserHidServ'); BC_DeleteSvc('RemoteAccessSysmonLog'); BC_DeleteSvc('RDSessMgrSchedulestisvc'); BC_DeleteSvc('RDSessMgrSchedule'); BC_DeleteSvc('RasAutoSENSdmserver'); BC_DeleteSvc('RasAutoNtmsSvc'); BC_DeleteSvc('PolicyAgentRSVP'); BC_DeleteSvc('NtmsSvcRDSessMgrSchedulestisvcwuauserv'); BC_DeleteSvc('NtmsSvcRDSessMgrSchedulestisvc'); BC_DeleteSvc('MSIServerRasAuto'); BC_DeleteSvc('mnmsrvcTapiSrv'); BC_DeleteSvc('LmHostsRemoteAccessSysmonLog'); BC_DeleteSvc('ImapiServicePlugPlay'); BC_DeleteSvc('ImapiServiceAppMgmtWmiApSrv'); BC_DeleteSvc('ImapiServiceAppMgmt'); BC_DeleteSvc('HTTPFilterMSIServerRasAuto'); BC_DeleteSvc('HidServRemoteRegistry'); BC_DeleteSvc('Eventlogwinmgmt'); BC_DeleteSvc('dmadminRpcSsSpooler'); BC_DeleteSvc('dmadminRpcSs'); BC_DeleteSvc('COMSysAppSwPrv'); BC_DeleteSvc('CiSvcWebClientEventSystemEventlogwinmgmt'); BC_DeleteSvc('CiSvcWebClientEventSystem'); BC_DeleteSvc('BrowserHidServ'); BC_DeleteSvc('BITSCiSvc'); BC_DeleteSvc('AudioSrvSamSs'); BC_DeleteSvc('Winxn25'); BC_DeleteSvc('Winxf16'); BC_DeleteSvc('Winwh38'); BC_DeleteSvc('Winvo25'); BC_DeleteSvc('Winvd73'); BC_DeleteSvc('Wintm25'); BC_DeleteSvc('Winqp84'); BC_DeleteSvc('Winqj14'); BC_DeleteSvc('Winlm71'); BC_DeleteSvc('Winki42'); BC_DeleteSvc('Winka73'); BC_DeleteSvc('Winjt38'); BC_DeleteSvc('Winir38'); BC_DeleteSvc('Winip27'); BC_DeleteSvc('Winha38'); BC_DeleteSvc('Wingm62'); BC_DeleteSvc('Wingm27'); BC_DeleteSvc('Winfj58'); BC_DeleteSvc('Wineg47'); BC_DeleteSvc('Wincp47'); ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30834
повторите логи.
Карантин выложил, вот логи:
Последний раз редактировалось Dyron; 30.10.2008 в 19:03.
Плохого в логах не видно.
Жалобы есть?
Жалоб нет машина работает стабильно, нод ничего не находит=)
Можно включать востановление системы и удалять hijackthis и AVZ?? И что с карантином делать?
Спасибо!!!
Уважаемый(ая) Dyron, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.