Printable View
Недавно при запуске Windows XP, NOD32 стал выдавать что обнаружен троян Win32/Wigon и вроде как помещал его в карантин. Но при последующих загрузках системы снова его находил. Плюс комп стал кушать трафик интернетовский, даже когда браузер не был открыт. Вчера скачал прогу Cure It, проверил компьютер в безопасном режиме, он нашел несколько троянов, при запуске NOD32 теперь не ругается на трояна, но трафик по прежнему кто-то ест. Даже не знаю, что делать?
Отключите антивирус.
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winlc78.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwv87.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvl43.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvg45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winul45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqp23.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpd82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoy65.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winml21.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjw56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winji76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingi01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winer67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winea05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbl56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaq80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winan23.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winlc78.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winlc78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winan23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaq80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbl56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winea05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winer67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingi01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winji76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjw56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winml21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoy65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpd82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqp23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winul45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvg45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvl43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwv87.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteService('Winwv87');
DeleteService('Winwe47');
DeleteService('Winvl43');
DeleteService('Winvg45');
DeleteService('Winul45');
DeleteService('Winqp23');
DeleteService('Winpd82');
DeleteService('Winoy65');
DeleteService('Winml21');
DeleteService('Winjw56');
DeleteService('Winji76');
DeleteService('Wingi01');
DeleteService('Winer67');
DeleteService('Winea05');
DeleteService('Winbl56');
DeleteService('Winaq80');
DeleteService('Winan23');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winlc78');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25558[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Сделал, все как написано. Высылаю новые логи
iexplorer.exe - чистый
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ajo
В логах чисто. Проблемы остались?
На этом компьютере вроде нормально, однако иногда NOD32 все равно находит Wigon.CK. Опытным путем определил что он его хватает с другого компа по сети. Другой компьютер я тоже полностью проверил, высылаю логи этого компа.
пофиксите ....
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
[/code]
больше ничего подозрительного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ajo[/B] (DrWEB: Trojan.Rntm.7)[/LIST][/LIST]