Wigon.S - Нод32 видит, удалить не удаляет

Printable View

06.06.2008, 19:10
volume

Вложений: 3

Wigon.S - Нод32 видит, удалить не удаляет

Windows XP Home русская - восстановление системы не получилось отключить согласно правил . Нет такой вкладки в "Мой Компьютер".

Но файлы сделал.
06.06.2008, 19:27
kps

Обязательно отключите восстановление системы! У Вас куча гадости.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Din62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Chm73.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a48wmt3y.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\nl_msgs.dll','');
QuarantineFile('C:\WINDOWS\System32\nl_msgc.dll','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('autorun.bat','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('PDBoot.exe','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Chm73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Din62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe05.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinNt32');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Rwc73');
BC_DeleteSvc('Winag51');
BC_DeleteSvc('Winwe05');
BC_DeleteSvc('Din62');
BC_DeleteSvc('Chm73');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('msupdate');
BC_Activate;
AutoFixSPI;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24154[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.
06.06.2008, 23:10
volume

Вложений: 3

Компьютер удалённый, но вроде сделали всё как надо. Единственная проблема - нет вкладки "Восстановление системы" в свойствах моего компьютера. Поэтому затрудняюсь предположить, как можно отключить восстановление. На другой машине с Windows XP Pro eng есть вкладка SystemRestore, а на завирусованной с XP Home Rus (SP2) - нет ничего такого.:O
06.06.2008, 23:28
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxd38');
DeleteService('Tye16');
DeleteService('Nsx84');
DeleteService('Glq16');
DeleteFile('C:\WINDOWS\System32\Drivers\Glq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tye16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd38.sys');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
затем можно будет отключить восстановление системы ...
повторите логи ...
06.06.2008, 23:29
volume

хм... опция "Свойства системы -> Восстановление системы" нашлась. :> Повторять действия заново ?

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

>выполните скрипт ...
>затем можно будет отключить восстановление системы ...
>повторите логи ...

ок.
07.06.2008, 00:21
volume

Вложений: 3

еще попытка
07.06.2008, 09:48
Alex_Goodwin

Было:
A0060875.dll - Trojan-Downloader.Win32.Mutant.acm
mssrv32.exe - Backdoor.Win32.Kbot.du
ntndis.exe - Backdoor.Win32.SdBot.egk
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.acr
07.06.2008, 13:19
volume

СПАСИБО!!!!!!!!!!!!!!!!!!!
Проблема исчезла.
Что порекомендуете делать дальше?
07.06.2008, 13:49
V_Bond

в логах ничего пдозрительного ...
07.06.2008, 15:59
kps

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 05:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]64[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0060875.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0060888.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0061888.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0061898.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0061907.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0061915.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0062915.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0062926.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0062943.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0062953.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0062966.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp74\\a0063966.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp75\\a0063980.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0063994.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0064020.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0064027.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0065027.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0065052.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0065074.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp76\\a0065083.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp77\\a0065139.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp77\\a0065150.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\system volume information\\_restore{68449301-c6eb-49ad-a960-6878db36a4c6}\\rp77\\a0065169.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\windows\\system32\\drivers\\ntndis.exe - [B]Backdoor.Win32.SdBot.egk[/B] (DrWEB: BackDoor.IRC.Evil)[*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.du[/B] (DrWEB: Trojan.MulDrop.8347)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.acr[/B] (DrWEB: BackDoor.Bulknet.210)[*] c:\\windows\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.adh[/B] (DrWEB: BackDoor.Bulknet.206)[/LIST][/LIST]