Win32/Wigon.CK троян

Printable View

18.06.2008, 04:22
k1k0

Вложений: 3

Win32/Wigon.CK троян

доброй ночи.
Проблема при запуске компьютера, nod32 выдает,что у меня вирус,название файла всегда разное,сейчас :
C:\WINDOWS\system32\drivers\Winqo24.sys
Win32/Wigon.CK троян
Событие в новом файле,созданном приложением C:\WINDOWS\TEMP\BN9.tmp
Просьба помочь.
С уважением, k1k0.
18.06.2008, 08:36
Bratez

1. [b]Отключите восстановление системы![/b]

2. Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Michael\LOCALS~1\Temp\nlwB.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winev52.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev52.sys');
DeleteFile('C:\DOCUME~1\Michael\LOCALS~1\Temp\nlwB.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winev52');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24805[/url]).

4. Сделайте новые логи, начиная с п.10 правил.
18.06.2008, 13:49
k1k0

Вложений: 3

Скрипт выполнил, карантин прислал.
Новые логи выкладываю.
С уважением, k1k0.
18.06.2008, 13:57
PavelA

C:\WINDOWS\TEMP\ - почистить от лишнего.
18.06.2008, 14:03
k1k0

up!
C:\WINDOWS\TEMP\ - очистил полностью.
С Уважением, k1k0.
18.06.2008, 14:26
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Больше ничего плохого нет. Как самочувствие системы?
18.06.2008, 14:35
k1k0

Вложений: 1

Так. Вроде бы пофиксил,т.е. удалил два этих файла. Проверьте лог на всякий случай.
Система ведет себя стабильно, окно от nod32 с сообщением о вирусе больше не вылезает. Можно возобновить "восстановление системы" ?
С Уважением, k1k0.
18.06.2008, 14:46
Bratez

Все ОК. Восстановление можно включить.
18.06.2008, 14:55
k1k0

Спасибо большое за помощь. Быстро и оперативно!
С Уважением, k1k0.
18.06.2008, 15:15
PavelA

WinCtrl32.dl_ - если найдется, то удалить.
18.06.2008, 15:37
k1k0

Помню,что он был, но сейчас его нету. Не нашелся через поиск.
С Уважением, k1k0.
22.02.2009, 05:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ahe[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]