В общем новая дрянь эта поселилась, вроде в реестре удалил её, но с жестака стереть увы не получилось Т.т еще можете подсказать, что за дрянь на компе: Wigon DC. Все файлы выкладываю. За ранее спасибо.
Printable View
В общем новая дрянь эта поселилась, вроде в реестре удалил её, но с жестака стереть увы не получилось Т.т еще можете подсказать, что за дрянь на компе: Wigon DC. Все файлы выкладываю. За ранее спасибо.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\xjudtofn.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\xzcisvef.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zsbirsve.sys','');
DeleteService('zsbirsve');
DeleteService('xzcisvef');
DeleteService('xjudtofn');
QuarantineFile('C:\WINDOWS\system32\Drivers\vmdefczr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vmdtscbs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vmqcijzo.sys','');
DeleteService('vmqcijzo');
DeleteService('vmdtscbs');
DeleteService('vmdefczr');
QuarantineFile('C:\WINDOWS\system32\Drivers\umngagii.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\unetihbe.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uqmzepfu.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uwvrifjb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vcrmscor.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vfwqoopm.sys','');
DeleteService('vfwqoopm');
DeleteService('vcrmscor');
DeleteService('uwvrifjb');
DeleteService('uqmzepfu');
DeleteService('unetihbe');
DeleteService('umngagii');
QuarantineFile('C:\WINDOWS\system32\Drivers\tscbudzr.sys','');
DeleteService('tscbudzr');
QuarantineFile('C:\WINDOWS\system32\Drivers\tnoeofuv.sys','');
DeleteService('tnoeofuv');
QuarantineFile('C:\WINDOWS\system32\Drivers\regiefjo.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rgzoaobs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rjebgvff.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rmrtznop.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rnbxznsb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rnntjjhy.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rscrkzsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ruxzegij.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sbrhqgvm.sys','');
DeleteService('sbrhqgvm');
DeleteService('ruxzegij');
DeleteService('rscrkzsr');
DeleteService('rnntjjhy');
DeleteService('rnbxznsb');
DeleteService('rmrtznop');
DeleteService('rjebgvff');
DeleteService('rgzoaobs');
DeleteService('regiefjo');
QuarantineFile('C:\WINDOWS\system32\Drivers\nmgsuumo.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nxfisljd.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nxrkujre.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\oihklfry.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\osoagynh.sys','');
DeleteService('osoagynh');
DeleteService('oihklfry');
DeleteService('nxrkujre');
DeleteService('nxfisljd');
DeleteService('nmgsuumo');
QuarantineFile('C:\WINDOWS\system32\Drivers\lnmjouvw.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\lnruxscb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\lwonvfjr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mqlwhxrq.sys','');
DeleteService('mqlwhxrq');
DeleteService('lwonvfjr');
DeleteService('lnruxscb');
DeleteService('lnmjouvw');
QuarantineFile('C:\WINDOWS\system32\Drivers\jgxciidr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\kdfxfipn.sys','');
DeleteService('kdfxfipn');
DeleteService('jgxciidr');
QuarantineFile('C:\WINDOWS\system32\Drivers\dzgimzci.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\dzrhbudt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ebzgiipf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\eefhcjcr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\efumonnq.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\eggarrsy.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\fzblowvc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\giipubfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\givvemun.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\gxnqnnab.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\gzrzcaoc.sys','');
DeleteService('gzrzcaoc');
DeleteService('gxnqnnab');
DeleteService('givvemun');
DeleteService('giipubfs');
DeleteService('fzblowvc');
DeleteService('eggarrsy');
DeleteService('efumonnq');
DeleteService('eefhcjcr');
DeleteService('ebzgiipf');
DeleteService('dzrhbudt');
DeleteService('dzgimzci');
QuarantineFile('C:\WINDOWS\system32\Drivers\djcciejb.sys','');
DeleteService('djcciejb');
QuarantineFile('C:\WINDOWS\system32\Drivers\cwhpnpdv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\crnffidj.sys','');
DeleteService('cwhpnpdv');
DeleteService('crnffidj');
QuarantineFile('C:\WINDOWS\system32\Drivers\cixxsveu.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cigqdtgs.sys','');
DeleteService('cixxsveu');
DeleteService('cigqdtgs');
QuarantineFile('C:\WINDOWS\system32\Drivers\atbsuoqf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\bfjmdpjd.sys','');
DeleteService('bfjmdpjd');
DeleteService('atbsuoqf');
QuarantineFile('C:\WINDOWS\system32\Drivers\abrujroe.sys','');
DeleteService('abrujroe');
QuarantineFile('C:\Documents and Settings\Общая\Application Data\Microsoft\sezyti.exe','');
DeleteService('doeb44oe2ex');
DeleteFile('C:\Documents and Settings\Общая\Application Data\Microsoft\sezyti.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\abrujroe.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\bfjmdpjd.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\atbsuoqf.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\cigqdtgs.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\cixxsveu.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\crnffidj.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\cwhpnpdv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\djcciejb.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\gzrzcaoc.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\gxnqnnab.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\givvemun.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\giipubfs.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\fzblowvc.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\eggarrsy.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\efumonnq.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\eefhcjcr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ebzgiipf.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\dzrhbudt.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\dzgimzci.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\kdfxfipn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\jgxciidr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mqlwhxrq.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\lwonvfjr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\lnruxscb.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\lnmjouvw.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\osoagynh.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\oihklfry.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\nxrkujre.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\nxfisljd.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\nmgsuumo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\sbrhqgvm.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ruxzegij.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rscrkzsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rnntjjhy.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rnbxznsb.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rmrtznop.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rjebgvff.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rgzoaobs.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\regiefjo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\tnoeofuv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\tscbudzr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vfwqoopm.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vcrmscor.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\uwvrifjb.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\uqmzepfu.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\unetihbe.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\umngagii.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vmqcijzo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vmdtscbs.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vmdefczr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\zsbirsve.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\xzcisvef.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\xjudtofn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
карантин загрузил, но не понял куда он делся Т.т вот что получилось:
Файл сохранён как 110427_020650_2011-04-27_4db77a3abda66.zip
Размер файла 374868
MD5 2902565ecd0a8faece5a4f1485b5f15a
перед тем как делать новые логи [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
Вот что получилось =)
[QUOTE=thyrex;785887]Сделайте лог полного сканирования МВАМ[/QUOTE]
еще такой лог сделайте
[QUOTE=polword;785970]еще такой лог сделайте[/QUOTE]
Вот пожалуйста (комп долго проверялся)
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP175\A0067630.exe (Trojan.Orsam) -> No action taken.
d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP175\A0067678.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP189\A0073445.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP21\A0007440.exe (Trojan.FakeAlert) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP23\A0008171.exe (Trojan.Orsam) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP23\A0009750.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{d6b13b44-544c-42a9-990c-3952381152ae}\RP123\A0025138.exe (Trojan.KillAV) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
c:\documents and settings\Общая\application data\wiaservg.log (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\crt.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Общая\local settings\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Общая\local settings\Temp\w32rim_mem.exe (Trojan.Downloader) -> No action taken.[/code]
[QUOTE=thyrex;786130][url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP175\A0067630.exe (Trojan.Orsam) -> No action taken.
d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP175\A0067678.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{bff2ab36-351f-4f79-979a-0c1f0cf4336e}\RP189\A0073445.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP21\A0007440.exe (Trojan.FakeAlert) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP23\A0008171.exe (Trojan.Orsam) -> No action taken.
d:\system volume information\_restore{404646ca-5fc7-4bbd-a0d3-03a2cb3d245a}\RP23\A0009750.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{d6b13b44-544c-42a9-990c-3952381152ae}\RP123\A0025138.exe (Trojan.KillAV) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
c:\documents and settings\Общая\application data\wiaservg.log (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\crt.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Общая\local settings\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Общая\local settings\Temp\w32rim_mem.exe (Trojan.Downloader) -> No action taken.[/code][/QUOTE]
всё удалил, благодарю ^^
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 10[/URL] или удалите старый.
[QUOTE=polword;786188]Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 10[/URL] или удалите старый.[/QUOTE]
Как я понял, это для оптимизации работы системы?
Это закрытие дыр в безопасности системы
[QUOTE=thyrex;786215]Это закрытие дыр в безопасности системы[/QUOTE]
Спасибо, в будущем все сделаю, пока что времени нет..
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]160[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\sbrhqgvm.sys - [B]Rootkit.Win32.Agent.blis[/B] ( DrWEB: Trojan.NtRootKit.9854, BitDefender: Rootkit.40926, NOD32: Win32/Agent.RRI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]