Printable View
Похожая проблема уже обсуждалась. ОС winXP pro sp2, после старта системы, после запуска InternetExplorer nod32 выдает сообщение что обнаружен Wigon.BK trojan. Он его помещает в карантин, но рассылка спама не прекращается. Исходящий трафик превышает входящий. nod32 сообщает что троян находится в windows/temp. После удаления и перезагрузки системы вирус возникает снова.
Все проверки выполнены по инструкции.
Отключите Антивирус!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ROMwln.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\Jfs9jg.dll','');
QuarantineFile('C:\WINDOWS\system32\Fsd9mk4g.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wcg37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsw61.sys','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
DeleteService('Rwc84');
DeleteService('Wcg37');
DeleteService('Nsw61');
DeleteService('Google Online Search Service');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsw61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wcg37.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\Fsd9mk4g.dll');
DeleteFile('C:\WINDOWS\system32\Jfs9jg.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('sysfldr.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Rwc84 ');
BC_DeleteSvc('Wcg37');
BC_DeleteSvc('Nsw61 ');
BC_DeleteSvc('Google Online Search Service ');
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(17 );
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21557[/url]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Все сделал. Спасибо.
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'jkdfj94kgdftdf');
BC_DeleteSvc('Iqjr66');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Какие-нибудь проблемы остались?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\rom server 3.0\\hookdrv.dll - [B]not-a-virus:RemoteAdmin.Win32.ROM.a[/B] (DrWEB: Program.RemoteAdmin.50)[*] c:\\windows\\system32\\romwln.dll - [B]not-a-virus:RemoteAdmin.Win32.ROM.a[/B][/LIST][/LIST]