Junior Member
Вес репутации
59
Прошу помощи "win32 Wigon"
Добрый день, помогите пожалуйста, на компьютере установлен NOD32 с последними базами при перезагрузке обнаруживает вирус Win32 WIgon с разными названиями файлов в папке windows\system32\drivers\win****.sys
Все Необходимые Логи прикрепляю.
Заранее благодарен.
Вложения
Тот кто не делает больше того что получает, никогда не получит больше.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('wuauservWmi');
StopService('Winxd25');
StopService('Winxc61');
StopService('Winxc58');
StopService('Winxc14');
StopService('Winwa36');
StopService('Winva82');
StopService('Wintx58');
StopService('Winsx03');
StopService('Winqu83');
StopService('Winqu47');
StopService('Winpt82');
StopService('Winns47');
StopService('Winko48');
StopService('Winkn71');
StopService('Winim82');
StopService('Winim60');
StopService('Wingk71');
StopService('Wingk58');
StopService('Wingk15');
StopService('Winfj82');
StopService('Wineh82');
StopService('Windj71');
StopService('Windh14');
StopService('Wincg60');
StopService('Winbf58');
StopService('Winbe36');
StopService('Winae14');
StopService('Winad15');
StopService('TrkWksRSVP');
StopService('SysmonLogWmi');
StopService('SpoolerRemoteRegistryThemes');
StopService('seclogonDhcp');
StopService('RSVPDcomLaunch');
StopService('RpcSsRemoteRegistry');
StopService('RemoteRegistryThemes');
StopService('RemoteAccessShellHWDetection');
StopService('RemoteAccessdmadminWmiApSrv');
StopService('RemoteAccessdmadmin');
StopService('RasManSCardSvr');
StopService('RasAutoBITS');
StopService('NtmsSvcEventSystem');
StopService('NtLmSspwuauservRpcLocator');
StopService('NtLmSspwuauserv');
StopService('NtLmSspDcomLaunchSpooler');
StopService('NetmanSchedule');
StopService('lanmanworkstationRpcLocator');
StopService('EventSystemRpcLocator');
StopService('dmadminSharedAccessAlerter');
StopService('dmadminSharedAccess');
StopService('DhcpShellHWDetection');
StopService('DcomLaunchSpooler');
StopService('CiSvcSCardSvrCOMSysApp');
StopService('CiSvcSCardSvr');
StopService('BITSNtLmSspwuauservRpcLocator');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmq71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winko48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winim82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winim60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windh14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincg60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winae14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winad15.sys','');
QuarantineFile('C:\Documents and Settings\БАА\Рабочий стол\.//..//drwvas.exe','');
DeleteService('wuauservWmi');
DeleteService('Winxd25');
DeleteService('Winxc61');
DeleteService('Winxc58');
DeleteService('Winxc14');
DeleteService('Winwa36');
DeleteService('Winva82');
DeleteService('Wintx58');
DeleteService('Winsx03');
DeleteService('Winqu83');
DeleteService('Winqu47');
DeleteService('Winpt82');
DeleteService('Winns47');
DeleteService('Winmq71');
DeleteService('Winkn71');
DeleteService('Winim82');
DeleteService('Winim60');
DeleteService('Wingk71');
DeleteService('Wingk58');
DeleteService('Wingk15');
DeleteService('Winfj82');
DeleteService('Wineh82');
DeleteService('Windj71');
DeleteService('Windh14');
DeleteService('Wincg60');
DeleteService('Winbf58');
DeleteService('Winbe36');
DeleteService('Winae14');
DeleteService('Winad15');
DeleteService('TrkWksRSVP');
DeleteService('SysmonLogWmi');
DeleteService('SpoolerRemoteRegistryThemes');
DeleteService('seclogonDhcp');
DeleteService('RSVPDcomLaunch');
DeleteService('RpcSsRemoteRegistry');
DeleteService('RemoteRegistryThemes');
DeleteService('RemoteAccessShellHWDetection');
DeleteService('RemoteAccessdmadminWmiApSrv');
DeleteService('RemoteAccessdmadmin');
DeleteService('RasManSCardSvr');
DeleteService('RasAutoBITS');
DeleteService('NtmsSvcEventSystem');
DeleteService('NtLmSspwuauservRpcLocator');
DeleteService('NtLmSspwuauserv');
DeleteService('NtLmSspDcomLaunchSpooler');
DeleteService('NetmanSchedule');
DeleteService('lanmanworkstationRpcLocator');
DeleteService('EventSystemRpcLocator');
DeleteService('dmadminSharedAccessAlerter');
DeleteService('dmadminSharedAccess');
DeleteService('DhcpShellHWDetection');
DeleteService('DcomLaunchSpooler');
DeleteService('CiSvcSCardSvrCOMSysApp');
DeleteService('CiSvcSCardSvr');
DeleteService('BITSNtLmSspwuauservRpcLocator');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winva82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintx58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winko48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineh82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winae14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winad15.sys');
DeleteFile('C:\Documents and Settings\БАА\Рабочий стол\.//..//drwvas.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wuauservWmi');
BC_DeleteSvc('Winxd25');
BC_DeleteSvc('Winxc61');
BC_DeleteSvc('Winxc58');
BC_DeleteSvc('Winxc14');
BC_DeleteSvc('Winwa36');
BC_DeleteSvc('Winva82');
BC_DeleteSvc('Wintx58');
BC_DeleteSvc('Winsx03');
BC_DeleteSvc('Winqu83');
BC_DeleteSvc('Winqu47');
BC_DeleteSvc('Winpt82');
BC_DeleteSvc('Winns47');
BC_DeleteSvc('Winmq71');
BC_DeleteSvc('Winkn71');
BC_DeleteSvc('Winim82');
BC_DeleteSvc('Winim60');
BC_DeleteSvc('Wingk71');
BC_DeleteSvc('Wingk58');
BC_DeleteSvc('Wingk15');
BC_DeleteSvc('Winfj82');
BC_DeleteSvc('Wineh82');
BC_DeleteSvc('Windj71');
BC_DeleteSvc('Windh14');
BC_DeleteSvc('Wincg60');
BC_DeleteSvc('Winbf58');
BC_DeleteSvc('Winbe36');
BC_DeleteSvc('Winae14');
BC_DeleteSvc('Winad15');
BC_DeleteSvc('TrkWksRSVP');
BC_DeleteSvc('SysmonLogWmi');
BC_DeleteSvc('SpoolerRemoteRegistryThemes');
BC_DeleteSvc('seclogonDhcp');
BC_DeleteSvc('RSVPDcomLaunch');
BC_DeleteSvc('RpcSsRemoteRegistry');
BC_DeleteSvc('RemoteRegistryThemes');
BC_DeleteSvc('RemoteAccessShellHWDetection');
BC_DeleteSvc('RemoteAccessdmadminWmiApSrv');
BC_DeleteSvc('RemoteAccessdmadmin');
BC_DeleteSvc('RasManSCardSvr');
BC_DeleteSvc('RasAutoBITS');
BC_DeleteSvc('NtmsSvcEventSystem');
BC_DeleteSvc('NtLmSspwuauservRpcLocator');
BC_DeleteSvc('NtLmSspwuauserv');
BC_DeleteSvc('NtLmSspDcomLaunchSpooler');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('lanmanworkstationRpcLocator');
BC_DeleteSvc('EventSystemRpcLocator');
BC_DeleteSvc('dmadminSharedAccessAlerter');
BC_DeleteSvc('dmadminSharedAccess');
BC_DeleteSvc('DhcpShellHWDetection');
BC_DeleteSvc('DcomLaunchSpooler');
BC_DeleteSvc('CiSvcSCardSvrCOMSysApp');
BC_DeleteSvc('CiSvcSCardSvr');
BC_DeleteSvc('BITSNtLmSspwuauservRpcLocator');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
59
Сообщение от
Rene-gad
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
В AVZ не показывает ни 1 файла в списке Карантина...
Вложения
Тот кто не делает больше того что получает, никогда не получит больше.
В IceSword сделайте этим файлам Force Delete:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winor50.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winmq82');
DeleteService('wuauservThemes');
DeleteService('SwPrvHidServ');
DeleteService('EventloglanmanworkstationRpcLocator');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winor50.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq82.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winmq82');
BC_DeleteSvc('wuauservThemes');
BC_DeleteSvc('SwPrvHidServ'');
BC_DeleteSvc('EventloglanmanworkstationRpcLocator');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
59
Все выше сказанное сделал, но в Карантине так ничего и не появилось
Изображения
Вложения
Тот кто не делает больше того что получает, никогда не получит больше.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Поставьте Сервис Пак 3 + последующие важные патчи. Возможно потребуется активация системы.
Junior Member
Вес репутации
59
Пофиксил...
Подскажите пожалуйста как отправить карантин, если его нет? ))
Тот кто не делает больше того что получает, никогда не получит больше.
Сообщение от
Arty
Пофиксил...
Подскажите пожалуйста как отправить карантин, если его нет? ))
У Вас есть 100.000 долларов? Если нет - отправьте их мне, плиз...
Junior Member
Вес репутации
59
Сообщение от
Rene-gad
У Вас есть 100.000 долларов? Если нет - отправьте их мне, плиз...
Большое спасибо за решение проблемы
зы: Прошу тему пока не закрывать, посмотрим как копьютер себя завтра поведет)
Тот кто не делает больше того что получает, никогда не получит больше.
У нас темы не закрываются. Для нас только важно чтобы в ней писалось только об одном, конкретном компьютере.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую