win32_wingon.ck

Printable View

18.09.2008, 23:21
NejiKaze

Вложений: 3

win32_wingon.ck

Помогите пожалуйста от избавиться от этого трояна.Каждый раз при запуске системы вылетает окошко с сылкой на директорию C:\windows\system32\drivers\*.sys.(tcpsr.sys,ati4xbxx.sys) Нод32 опредляет его как win32\wigon.ck троян.
Кидает их на карантин и с каждой загрузкой это повторяется :(
Заранее спасибо.
18.09.2008, 23:36
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('XTrapD12');
DeleteService('XDva189');
DeleteService('XDva164');
DeleteService('XDva132');
DeleteService('XDva092');
DeleteService('XDva076');
DeleteService('XDva074');
DeleteService('XDva032');
DeleteService('XDva004');
DeleteService('Txb04');
QuarantineFile('C:\WINDOWS\System32\Drivers\Txb04.sys','');
DeleteService('Lpt03');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lpt03.sys','');
DeleteService('Fjm04');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fjm04.sys','');
DeleteService('ati8hkxx');
DeleteService('ati6cfxx');
DeleteService('ati4xbxx');
DeleteService('ati1xbxx');
DeleteService('ati0xbxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4xbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6cfxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8hkxx.sys','');
DeleteService('Iddclatrdr');
QuarantineFile('Iddclatrdr.sys','');
DeleteFile('Iddclatrdr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8hkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6cfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fjm04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lpt03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Txb04.sys');
DeleteFile('C:\WINDOWS\system32\XDva004.sys');
DeleteFile('C:\WINDOWS\system32\XDva032.sys');
DeleteFile('C:\WINDOWS\system32\XDva074.sys');
DeleteFile('C:\WINDOWS\system32\XDva076.sys');
DeleteFile('C:\WINDOWS\system32\XDva092.sys');
DeleteFile('C:\WINDOWS\system32\XDva164.sys');
DeleteFile('C:\WINDOWS\system32\XDva189.sys');
DeleteFile('C:\WINDOWS\system32\XTrapD12.sys');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 2 правил
повторите логи
19.09.2008, 01:13
NejiKaze

Вложений: 3

Надеюсь всё правильно сделал.

[COLOR="Red"] Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы[/COLOR]
19.09.2008, 10:55
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\gcj.exe \s
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\gcj.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avo41ws2.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\an40jre6.SYS','');
QuarantineFile('C:\WINDOWS\system32\XDva132.sys','');
QuarantineFile('linkdel.cmd','');
QuarantineFile('and.exe','');
QuarantineFile('\s','');
QuarantineFile('Settings\Admin\gcj.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\EGamesPlugin.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\GAMELA~1.OCX','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\DazoinActiveXE.ocx','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\mglaunch_USAv1002.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\EngOrkaWeb.dll','');
DeleteService('XDva132');
DeleteFile('Settings\Admin\gcj.exe');
DeleteFile('\s');
DeleteFile('and.exe');
DeleteFile('linkdel.cmd');
DeleteFile('C:\WINDOWS\System32\Drivers\an40jre6.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\avo41ws2.SYS');
DeleteFile('C:\Documents and Settings\Admin\gcj.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('XDva132');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
19.09.2008, 16:25
NejiKaze

Вложений: 3

Вот сделал
19.09.2008, 16:30
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\ati6adxx.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys','');
DeleteService('ati6adxx');
DeleteService('ati7psxx');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati6adxx');
BC_DeleteSvc('ati7psxx');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
19.09.2008, 17:45
NejiKaze

Вложений: 3

Спасибо что помогаете.А IceSword почему то не запускается
19.09.2008, 18:18
Rene-gad

1. Скачать архив: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку [B]Scan for Rootkits[/B]
6. Скопировать скрипт в окно:
[CODE]files to delete:
C:\WINDOWS\system32\Drivers\ati6adxx.sys
[/CODE]
7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению..

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6adxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati6adxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
19.09.2008, 19:20
NejiKaze

Вложений: 4

Вот ещё
19.09.2008, 20:35
Rene-gad

[QUOTE=NejiKaze;285835]А IceSword почему то не запускается[/QUOTE]переименуйте IceSword.ехе в qw.com или wer.pif
Этот файл
C:\WINDOWS\System32\Drivers\ati6adxx.sys
нужно найти и удалить
19.09.2008, 20:55
NejiKaze

[QUOTE=Rene-gad;285915]переименуйте IceSword.ехе в qw.com или wer.pif
Этот файл
C:\WINDOWS\System32\Drivers\ati6adxx.sys
нужно найти и удалить[/QUOTE]

Всё равно не запускается =\ IceSword
ati6adxx.sys походу уже удалён
19.09.2008, 20:58
Rene-gad

[QUOTE=NejiKaze;285924]
ati6adxx.sys походу уже удалён[/QUOTE]Он присутстует в последних логах.
Выполните скрипт
[CODE]begin
setavzpmstatus(true);
rebootwindows(true);
end.[/CODE]После ребута повторите логи.
19.09.2008, 21:51
NejiKaze

Вложений: 3

а теперь
19.09.2008, 22:04
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ati6adxx');
BC_DeleteSvc('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6adxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip повторите ....
19.09.2008, 22:23
NejiKaze

Вложений: 2

вот
19.09.2008, 23:10
V_Bond

[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\Drivers\ati6adxx.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ... из поста 14