стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
Последний раз редактировалось Alex_Goodwin; 31.05.2009 в 13:06.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Администратор\Администратор.exe'); QuarantineFile('c:\documents and settings\Администратор\Администратор.exe',''); QuarantineFile('C:\WINDOWS\system32\activedso.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\system\netmon.exe',''); QuarantineFile('I:\Run.exe',''); DeleteFile('c:\documents and settings\Администратор\Администратор.exe'); DeleteFile('C:\WINDOWS\system32\activedso.exe'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\Documents and Settings\LocalService\.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); DeleteFile('C:\WINDOWS\system\netmon.exe'); DeleteFile('I:\Run.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(13); BC_DeleteSvc('stisvcSSDPSRV'); BC_DeleteSvc('acpi32'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('ati1kqxx'); BC_DeleteSvc('ati2flxx'); BC_DeleteSvc('ati4flxx'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('ati7qwxx'); BC_DeleteSvc('ati8qwxx'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('i386si'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('netsik'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('port135sik'); BC_DeleteSvc('securentm'); BC_DeleteSvc('systemntmi'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46884
3. Повторите логи.
Последний раз редактировалось Aleksandra; 31.05.2009 в 12:58.
Сердце решает кого любить... Судьба решает с кем быть...
при выполнении скрипта AVZ вылетает окно
" Invalid data type for "
все копирую как у вас и вылетает "Invalid data type for" опять!
вот что в отчете AVZ:
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось Multur; 31.05.2009 в 15:47.
Логи после скрипта сделайте.
Да, логи нужны в любом случае. В первый раз Вы ошиблись и вместо лога virusinfo_syscure загрузили карантин. Постарайтесь во второй раз сделать все правильно.
Сердце решает кого любить... Судьба решает с кем быть...
Сделал всю процедуру по новому..... так как запутался
Для начала удалим пачку.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('I:\Run.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe',''); DeleteService('ws2_32sik'); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); DeleteService('port135sik'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('fips32cup'); DeleteService('ati8qwxx'); DeleteService('ati7qwxx'); DeleteService('ati64si'); DeleteService('ati4flxx'); DeleteService('ati2flxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys',''); DeleteService('ati1kqxx'); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('stisvcSSDPSRV'); QuarantineFile('C:\WINDOWS\system32\activedso.exe',''); DeleteFile('C:\WINDOWS\system32\activedso.exe'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\Documents and Settings\LocalService\.exe'); DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46884
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
опять при выполнении скрипта выдает " Invalid data type for "
прикладываю протокол выполнения скрипта AVZ
Последний раз редактировалось Rene-gad; 01.06.2009 в 20:06. Причина: Ненужный лог удален
удалил все равно выдает ошибку "Invalid data type for "Код:Удалите из скрипта PavelA строку SearchRootkit(true, true); и выполните еще раз скрипт
А Вы НОД выгружаете перед запуском АВЗ?
Логи по правилам давайте.
Последний раз редактировалось Rene-gad; 01.06.2009 в 20:47.
а как выключить НОД? я выключаю защиту а как выключить его самого не знаю
у меня с право горит НОД но только красный
Последний результат работы вируса на моем компьютере:
1. проник на хостинг моего сайта создал какие то атаки за что заблокирован сайт! (блокировка хостинг провайдером)
2. сейчас на компьютере что то есть в виде вируса но NOD32 его не определяет!
Последний раз редактировалось Rene-gad; 08.06.2009 в 18:50.
Выполните - если может - скрипт PavelA в безопасном режиме, потом сделайте новые логи в нормальном режиме.
перезагрузил в безопасном режиме компьютер, при этом выключив NOD32 совсем выдает туже ошибку!!!!
может просто выполнить просто еще раз logi
Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
при проверке программой GMER светится красной стракой:
service C:\windows\system32\drivers\vdrv9000.sys(***hidden ***)
при сохранении лога все зависло с ошибкой файла \$Mft
сделал лог
Последний раз редактировалось Rene-gad; 09.06.2009 в 10:01.
Уважаемый(ая) Multur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.