win32\wingon.ck троян

Printable View

18.09.2008, 18:54
ershik

Вложений: 3

win32\wingon.ck троян

Помогите пожалуйста от избавиться от этого трояна (уже от инета из-за рассылки вирусов отключили). Каждый раз при запуске системы вылетает окошко с сылкой на директорию C:\windows\system32\drivers\*.sys. Нод32 опредляет его как win32\wigon.ck троян.
Удаляет его и после перезагрузки определяет опять, причём имена sys файлов каждый раз новые.
Спасибо.
18.09.2008, 19:00
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winah28.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('px86emul.dll','');
QuarantineFile('windsw.dll','');
QuarantineFile('C:\WINDOWS\system32\config32\updater.dll','');
QuarantineFile('C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe','');
QuarantineFile('C:\WINDOWS\system32\YnRpyuRJ.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('mpr_freader');
DeleteService('symavc32');
DeleteService('Winvc53');
DeleteService('Winuc64');
DeleteService('Winsa74');
DeleteService('Winnt64');
DeleteService('Winls20');
DeleteService('Wincj64');
DeleteService('Winbi31');
DeleteService('Winah28');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{38DFDADF-BA43-4C43-7890-ADE6777666BB}');
DelBHO('{B5DB5206-2EB0-49cb-8C9E-7417007B65D7}');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\YnRpyuRJ.exe');
DeleteFile('C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\config32\updater.dll');
DeleteFile('windsw.dll');
DeleteFile('px86emul.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\RGWIE.dll');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbi31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnt64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc53.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mpr_freader');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('Winvc53');
BC_DeleteSvc('Winuc64');
BC_DeleteSvc('Winsa74');
BC_DeleteSvc('Winnt64');
BC_DeleteSvc('Winls20');
BC_DeleteSvc('Wincj64');
BC_DeleteSvc('Winbi31');
BC_DeleteSvc('Winah28');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
18.09.2008, 20:13
ershik

Вложений: 2

все сделала. третий фаил почему-то не грузится :(
18.09.2008, 21:08
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\System32\Drivers\Winuc74.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
[COLOR="Red"][SIZE="4"]- Системное восстановление.[/SIZE][/COLOR]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc74.sys','');
QuarantineFile('RGWIE.dll','');
DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
DeleteService('Winuc74');
DeleteFile('RGWIE.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc74.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winuc74');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
24.09.2008, 17:24
ershik

Вложений: 3

Сделала.
24.09.2008, 17:28
Rene-gad

Почистите планировщик задач.
Установите Сервис Пак 3, возможно потребуется активация системы.
24.09.2008, 17:40
ershik

Спасибо.
22.02.2009, 08:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\virus\\1 - [B]Trojan-Downloader.Win32.Mutant.bna[/B] (DrWEB: BackDoor.Bulknet.225)[*] \\virus\\2 - [B]Trojan-Downloader.Win32.Mutant.bna[/B] (DrWEB: BackDoor.Bulknet.225)[*] \\virus\\32dl - [B]Trojan-Downloader.Win32.Mutant.bms[/B] (DrWEB: BackDoor.Bulknet.225)[*] \\virus\\32dl 2 - [B]Trojan-Downloader.Win32.Mutant.bms[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]