Junior Member
Вес репутации
57
Win32/Wigon.CK Троян поселился в Windows XP.
Ситуация схожая с подобными из этого раздела.
При подключении к интернету NOD32 обнаруживает вирус:
Файл:
C:\Windows\System32\drivers\wintw34.sys (файл при каждом входе разный, но из той-же папки)
Вирус:
Win32/Wigon.CK Троян
Описание:
Событие в новом файле, созданном приложением C:\TEMP\BN2.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
При сканировании что-то находит,что-то удаляет (в основном из папки "System Volume Information", но при повторном входе в интет все повторяется.
Уважаемые хелперы, помогите пожалуйста!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ielbrlb.dll','');
DeleteService('Winyy00');
DeleteService('Winyc12');
DeleteService('Winxx13');
DeleteService('Winww85');
DeleteService('Winwc24');
DeleteService('Winvf22');
DeleteService('Winud36');
DeleteService('Winua14');
DeleteService('Wintw34');
DeleteService('Winss12');
DeleteService('Winsb06');
DeleteService('Winre58');
DeleteService('Winpi00');
DeleteService('Winoq08');
DeleteService('Winoo65');
DeleteService('Winnk84');
DeleteService('Winnk28');
DeleteService('Winmc25');
DeleteService('Winlq21');
DeleteService('Winld53');
DeleteService('Winjt14');
DeleteService('Winjl25');
DeleteService('Winje77');
DeleteService('Winjc26');
DeleteService('Wingb12');
DeleteService('Winfw65');
DeleteService('Winey13');
DeleteService('Wincj83');
DeleteService('Winch68');
DeleteService('Winax24');
DeleteService('Winau33');
SetServiceStart('Winau33', 4);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winau33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winax24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winey13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfw65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingb12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjc26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winje77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjl25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjt14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winld53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmc25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnk28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnk84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoo65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoq08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpi00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winre58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsb06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winss12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintw34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winud36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvf22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winww85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxx13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyc12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyy00.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ielbrlb.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
57
Скрипт выполнен без ошибок. При подключении к инету NOD32 сообщения об обнаружении вируса больше не выдает. Файл карантина выслал.
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winwm70');
DeleteService('Winfu60');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfu60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwm70.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
57
Скрипт выполнен без ошибок. При подключении к инету NOD32 молчит.
Вложения
Сообщение от
Shadow-UA
При подключении к инету NOD32 молчит.
ему стыдно
пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
больше ничего плохого
Junior Member
Вес репутации
57
Сообщение от
V_Bond
ему стыдно
Он мог бы ужЕ привыкнуть...
Спасибо огромное, уважаемый V_Bond !
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bpg (DrWEB: BackDoor.Bulknet.225)