Agent.NBT + Wigon

Printable View

30.01.2008, 12:25
zocer

Вложений: 3

Agent.NBT + Wigon

Здравствуйте.
NOD32 обнаружил в системе черви Agent.NBT и Wigon троян.
Лечил - лечил. Не вылечил.
Помогите, плиз.
30.01.2008, 12:30
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Lrw27');
SetServiceStart('Lrw27', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lrw27.sys','');
QuarantineFile('C:\WINDOWS\system32\socksys.dll','');
QuarantineFile('C:\WINDOWS\system32\MGE\RunSC.exe','');
QuarantineFile('C:\WINDOWS\system32\MGE\PCtl.exe','');
QuarantineFile('C:\WINDOWS\system32\MGE\CILUSB.EXE','');
QuarantineFile('C:\WINDOWS\system32\MGE\CILRS232.EXE','');
QuarantineFile('C:\WINDOWS\system32\MGE\BIL.EXE','');
DeleteFile('C:\WINDOWS\system32\socksys.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Lrw27.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DelBHO('{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}');
BC_ImportALL;
BC_DeleteSvc('Lrw27');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17215[/url]).
Сделайте новые логи.
31.01.2008, 09:24
zocer

Вложений: 3

Спасибо. Отправляю.
31.01.2008, 09:49
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Lrw27\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Lrw27');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Lrw27.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
01.02.2008, 09:42
zocer

Вложений: 4

Отправляю.
01.02.2008, 09:55
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
SetServiceStart('smtpdrv', 4);
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
повторите логи начиная с пункта 10 правил ...
22.02.2009, 03:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\socksys.dll - [B]Trojan-Downloader.Win32.Agent.hnp[/B] (DrWEB: Trojan.BhoSpy)[/LIST][/LIST]