Здравствуйте! На компе завёлся вирус Wigon Trojan. NOD 32 при перезагрузке удаляет новые файлы, созданные вирем. Помогите, пожалуйста.
Printable View
Здравствуйте! На компе завёлся вирус Wigon Trojan. NOD 32 при перезагрузке удаляет новые файлы, созданные вирем. Помогите, пожалуйста.
ConnectionServices - деинсталировать ..
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Winai10.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\pebgkxwq.exe','');
DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}');
QuarantineFile('C:\WINDOWS\inetloader.dll','');
DelBHO('{CF55DD2E-1E2C-44F7-8514-A94864AC2990}');
DelBHO('{79C5FC7A-CC0D-4820-B61F-BDE6DA53E531}');
DelBHO('{63A88B83-7D1F-4A51-B195-1D7F67F4E1F7}');
BC_DeleteSvc('Winpx21');
BC_DeleteSvc('Winnu07');
BC_DeleteSvc('Winmu18');
BC_DeleteSvc('Winiq31');
BC_DeleteSvc('Winhp43');
BC_DeleteSvc('Wincj43');
QuarantineFile('C:\WINDOWS\System32\drivers\Winai10.sys','');
QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\khfCUoMF.dll','');
QuarantineFile('C:\WINDOWS\system32\mlJbXqrO.dll','');
DeleteFile('C:\WINDOWS\system32\mlJbXqrO.dll');
DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\xkefqtgs.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winai10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiq31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx21.sys');
DeleteFile('C:\WINDOWS\rnopbfgt.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('mlJbXqrO.dll');
DeleteFile('C:\WINDOWS\kvsdpfearbl.dll');
DeleteFile('C:\WINDOWS\inetloader.dll');
DeleteFile('C:\WINDOWS\pebgkxwq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Спасибо большое! Всё в порядке, вроде бы. Карантин прислал.
Кажется, рано обрдовался. NOD обнаружил C:\WINDOWS\system32\drivers\Winai10.sys Wigon Trojan,
C:\Temp\BN1.tmp,
C:\Temp\avz_1008_raw.tmp.
Посмотрите, пожалуйста, ещё раз логи.
Пояните по поводу C:\WINDOWS\System32\Drivers\Winai10.sys - force delete с помощью Ice Sword. Нужно было удалить этот процесс? Не нашёл тогда его в списках.
Выполните без промежуточных перезагрузок:
1. Запустите Ice Sword, нажмите слева внизу File, найдите файлы:
C:\WINDOWS\system32\Drivers\Winai10.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
нажмите каждый правой кнопкой и выберите Force Delete.
2. Пофиксите в HijackThis:
[code]
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {15358F0E-4F20-43EE-83F1-3256F23396C6} - C:\WINDOWS\system32\khfCUoMF.dll (file missing)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O4 - HKLM\..\Run: [d4cba069] rundll32.exe "C:\WINDOWS\system32\gewnpuvt.dll",b
O4 - HKCU\..\Run: [RavAV] "C:\Documents and Settings\Амиго\Главное меню\Программы\Автозагрузка\RavMonE.exe"
O20 - Winlogon Notify: mlJbXqrO - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rorrqhdp.dll','');
QuarantineFile('C:\WINDOWS\system32\gewnpuvt.dll','');
DeleteFile('C:\WINDOWS\system32\gewnpuvt.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winai10.sys');
DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll');
DeleteFile('C:\WINDOWS\system32\rorrqhdp.dll');
BC_ImportALL;
BC_DeleteSvc('Winai10');
BC_DeleteSvc('seclogonhelpsvcdmadmin');
BC_DeleteSvc('helpsvcdmadminCOMSysApp');
BC_DeleteSvc('helpsvcdmadmin');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
Спасибо! После проделанных операций просканил систему, вирусов не нашлось. Карантин высал
пофиксите ...
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('BITSWebClient');
DeleteFile('WinCtrl32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Выполнил. А что означали эти действия?
в логах ничего плохого ...
какие- то проблемы остались ?
Да нет, всё в порядке. Огромное вам спасибо! :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\pebgkxwq.exe - [B]Trojan.Win32.Vapsup.gpr[/B] (DrWEB: Trojan.Popuper.10959)[*] c:\\windows\\system32\\gewnpuvt.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yry[/B] (DrWEB: Trojan.Virtumod.based.17)[*] c:\\windows\\system32\\mljbxqro.dll - [B]Trojan.Win32.Monderb.gen[/B] (DrWEB: Trojan.Virtumod.based.17)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.agh[/B] (DrWEB: Trojan.DownLoader.63553)[*] c:\\windows\\xkefqtgs.dll - [B]Trojan.Win32.Vapsup.grh[/B][/LIST][/LIST]