Вирус Wigon. Вопрос - каким образом защититься от заражения других компов, если антивирус не помогает?
Printable View
Вирус Wigon. Вопрос - каким образом защититься от заражения других компов, если антивирус не помогает?
Менять а/вирус на другой, который умеет удалять данную гадость.
Возможно, надо просто обновить версию а/вируса.
Скрипт сейчас будет.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('WinNt64.dll','');
DeleteService('Udk87');
DeleteService('Udk42');
DeleteService('Udk07');
DeleteService('Tcj86');
DeleteService('Lta75');
DeleteService('Ksy42');
DeleteService('Ksa86');
DeleteService('Ksa07');
DeleteService('Iqx20');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys','');
DeleteService('Gnu20');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iqx20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksa07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksa86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksy42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lta75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tcj86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk87.sys');
DeleteFile('WinNt64.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25697[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll [/CODE]
3. Сделайте логи снова.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('Udk87');
DeleteService('Udk42');
DeleteService('Udk07');
DeleteService('Tcj86');
DeleteService('Lta75');
DeleteService('Ksy42');
DeleteService('Ksa86');
DeleteService('Ksa07');
DeleteService('Iqx20');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys','');
DeleteService('Gnu20');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_m5287.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iqx20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksa07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksa86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ksy42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lta75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tcj86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk87.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин. сделать новые логи.
возможно, Ваши пароли ушли на сторону. Их надо будет менять.
Ядро Нода от 2005 года, скорее всего Ваша версия безнадежно устарела.
Незнаю какой антивирус. Мне НОД32 нравится, но он пока не справляется с этим вирусом, даже 3 версия. А базы всегда свежие.
Сделал по пунктам ПавелА активность не остановилась. Вот новые логи.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_diskdump.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_m5287.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\diskdump.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\m5287.sys','');
QuarantineFile('D:\Drivers\Chipset\ATI\bin\atiicdxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys');
DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25697[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O20 - Winlogon Notify: WinNt32 - WinNt64.dll (file missing)[/CODE]
Продела все пункты. Карантин отослал. Изменений к сожалению никаких. Траффик продолжает идти.
Нужны новые логи.
Новые логи.
скачать IceSword, в нем сделать force delete:
'C:\WINDOWS\system32\Drivers\Qyf07.sys'
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Qyf07', 4);
DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Вроде все отлично. Завтра посмотрю по загрузке с инета. Логи выслать?
Угу
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winnt64.dll - [B]Trojan-Downloader.Win32.Mutant.aff[/B] (DrWEB: Trojan.DownLoader.63559)[/LIST][/LIST]