ОС winXP pro sp2, при старте системы через раз нод32 выдает сообщение о wigon.BK, создаются файлы BN.tmp в папке windows/temp
Printable View
ОС winXP pro sp2, при старте системы через раз нод32 выдает сообщение о wigon.BK, создаются файлы BN.tmp в папке windows/temp
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oty62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hns05.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wservice.exe','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Hns05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Hns05');
BC_DeleteSvc('Oua51');
BC_DeleteSvc('Oty62');
BC_DeleteSvc('Nsx62');
BC_DeleteSvc('Yej16');
BC_DeleteSvc('Vch38');
BC_DeleteSvc('Lrw73');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21310[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O2 - BHO: C:\WINDOWS\system32\hd783fdg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file) [/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Повторите логи.
последние логи
карантин тоже выложил, вроде щас все ОК
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc16.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Qwc16');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[b]C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys[/b] - это Вам знакомо? Если нет, тогда его и [b]wservice.exe[/b] - поищите при помощи АВЗ--сервис--поиск файлов. Если первый файл знаком, тогда пришлите только второй.
Повторите логи.
не нашел ни первого ни второго
логи. файлы так и не нашлись. может чо не так делаю?
Скачал на всякий случай по новой авз и хайджек, хотя и были последние. Вот последние логи, извиняюсь если что не так, вроде все делал по инструкции:>
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys');
DeleteFile('C:\WINDOWS\system32\wservice.exe');
BC_ImportDeletedList;
BC_DeleteSvc('spfhlp.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe [/CODE]
Повторите логи
Извиняюсь за задержку, не было возможности проделать все сразу. Скрипт выполнил, а вот пофиксить не удалось, т.к. эти строки отсутствуют. При возможности обязательно выложу логи, пока такой возможности нет. В любом случае огромное спасибо за помощь, еще раз извиняюсь.
Отсутствие строчек говорит о том, что АВЗ хорошо паработала и прибила врага.
:))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.hx[/B] (DrWEB: Trojan.DownLoader.56882)[/LIST][/LIST]