немогу избавиться от этого надоедливого вигона, засел в winlogone и выходить не собирается
C:\WINDOWS\system32\WinCtrl32.dll Win32/Wigon
Printable View
немогу избавиться от этого надоедливого вигона, засел в winlogone и выходить не собирается
C:\WINDOWS\system32\WinCtrl32.dll Win32/Wigon
Нужны логи по правилам: [url]http://virusinfo.info/showthread.php?t=1235[/url]
up
[b]Отключите восстановление системы![/b]
На время выполнения фикса и скрипта отключите интернет и антивирус.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winlp82');
StopService('Vbe36');
SetServiceStart('Winlp82', 4);
SetServiceStart('Vbe36', 4);
QuarantineFile('C:\WINDOWS\system32\prxsvc.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dhk58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winlp82.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vbe36.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dhk58.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Dhk58');
BC_DeleteSvc('Winlp82');
BC_DeleteSvc('Vbe36');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24624[/url]).
Сделайте новые логи, начиная с п.10 правил.
up
[FONT=Arial][SIZE=3]Файл закачан[/SIZE][/FONT]
1. Скачайте Ice Sword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url], распакуйте, запустите, слева внизу нажмите File. Найдите следующие файлы:
C:\WINDOWS\system32\Drivers\Winlp82.sys
C:\WINDOWS\system32\Drivers\Vbe36.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Нажмите на каждый правой кнопкой и выберите Force Felete.
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\prxsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\prxsvc.dll','');
DeleteFile('C:\WINDOWS\system32\prxsvc.dll');
DeleteFile('C:\WINDOWS\system32\prxsvc.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winlp82');
BC_DeleteSvc('Vbe36');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Повторите логи, начиная с п.10 правил.
up
файл загружен
нарушил правило, но при сканировании программой AVZ после третьего пункта сканирования дисков у меня в окне сообщений qip появилось следующее:
[quote]
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest
[/quote]
BitAccelerator,VirtualNetwork- деисталировать .....
пофиксите ....
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O21 - SSODL: prxsvc - {153C2CE9-2112-4DEB-931D-365508CEEDF2} - prxsvc.dll (file missing)
[/code]
повторите логи начиная с пункта 10 правил ...
насчет testtesttesttesttestt ... это работа авз - так ищутся клавиатурные перехватчики ... только не припомню что бы в правилах было написано , что при проверке авз нужно запускать квип ... видимо склероз ....
я ж говорю, нарушил правило и запустил его, сейчас все сделаю
up
удалите временные интернет файлы .... больше ничего подозрительного ...
спасибо огромное
еще вопрос, как нужно устраивать безопасностью компьютера, у меня стоит только NOD , сейчас скачал agnitum firewall буду настраивать. может еще что то ?
По возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
еще раз спасибо