подцепил wigon.BE после подцепа win32/statik, помогите.

вот что щас у меня нашел нод но не удаляет...
запустил доктора веба как в инструкции нашел еще и win32/rootKit.trojan
и какуюто его модификацию, пишет что удалено, но видно что winlogon долбится наружу по адресам:
из аутпоста, с ним щас и живу блокировал внешку - но макстон открыт чтоб в инет лазить.

WINLOGON.EXE TCP локальное:любое
локал порт-2401
IP 208.66.194.232
удал порт 80
Блокировать действия приложения WINLOGON.EXE ИСХ БЛОКИРОВАНО

то что выдавал нод32
Е:\WINDOWS\system32\drivers\Eim83.sys модифицированный Win32/Wigon троян
E:\WINDOWS\TEMP\BN10F0.tmp модифицированный Win32/Wigon троян
E:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY троян
E:\WINDOWS\System32\svchost.exe

[URL="http://u.axa-axa.cn/up/l/0/22bbab48ddf0b0ef3419dd7d3e3b3208"]http://[/URL]
u.axa-axa.cn/
up/
l/
0/
22bbab48ddf0b0ef3419dd7d3e3b3208
вероятно модифицированный Win32/Statik приложение

со статика началось все, а еще началось все на самом деле с игрушки алавар качнул я значит поиграться в триалверсию... и на тебе нод рыпнулся "Множественный доступ"

при попытке лечения в AVZ с галкой напротив рут кита в логах пишет что много чего заблокировано но работа антируткита неудачно завершена.

собственно щас по инструкции просканирую еще разок и кину логи... в течении часа... а то за время тестов сам понаделал ерунды походу

странно но почемуто не прошел второй лог он составил 3 мегабайта...

полюбому не зальется...

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Eim83');
SetServiceStart('Eim83', 4);
QuarantineFile('E:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Uae15.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Eim83.sys','');
DeleteFile('E:\WINDOWS\System32\Drivers\Eim83.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Uae15.sys');
DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportALL;
BC_DeleteSvc('Eim83');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Uae15');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24569[/url]).
Сделайте новые логи, начиная с п.10 правил.

извиняюсь за расторопность вобщем установил новую винду...
включил AVZ подрубил зараженный винт и вручную убил Eim83.sys shift+del
занимаюсь творчеством поэтому иногда нервничаю - работа встала решаю любыми способами...

за скрипт спасибо на будущее.

я службу не догадывался вырубить!

а программа AVZ за последние 2 дня стала мне незаменимым помошником - молодцы создатели!

единственное чего она не делает это не чистит реестр от имеджей вот эту функцию включитьбы туды... былоб незаменимо...
а так ручками ручками...

СПАСИБО!

п.с.
Еслиб небыло у меня 4-х хардов со свободным местом на одном то реал дождался бы ответа...
просто реал спать охота и диплом распечатывать... по сути у меня диплом повис в воздухе...

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 80882B80
KiST = 8080BD20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
Карантин с использованием прямого чтения - ошибка
Удаление файла:%systemroot%\System32\Drivers\Eim83.sys
>>>Для удаления файла %systemroot%\System32\Drivers\Eim83.sys необходима перезагрузка
Удаление файла:%systemroot%\System32\Drivers\Uae15.sys
>>>Для удаления файла %systemroot%\System32\Drivers\Uae15.sys необходима перезагрузка
Удаление файла:%systemroot%\System32\drivers\tcpsr.sys
>>>Для удаления файла %systemroot%\System32\drivers\tcpsr.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удалена служба/драйвер Eim83

вот последнее осталось на компе из-за нее реестр не чистился...

спасибо еще раз

проверился еще разик по пункту 10 все вроде нормально вам виднее что дальше делать...

по реестру картинку сделал куда эта штука прописалась...

Это AVZ записала отложенное удаление файла.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]