Добрый день!
НОД при ребуте каждый раз находит 2 трояна Win32/Wigon и Wind32/Wigon.BY. Гады появлются постоянно >:(
Прошу помощи квалифицированных специалистов :)
Printable View
Добрый день!
НОД при ребуте каждый раз находит 2 трояна Win32/Wigon и Wind32/Wigon.BY. Гады появлются постоянно >:(
Прошу помощи квалифицированных специалистов :)
c:\program files\active keyboard - сами ставили? Если нет - удалите как приложение.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\ati8vgxx.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните гден нибудь на диске, чтобы потом [URL="http://virusinfo.info/showthread.php?t=4567"]добавить в карантин[/URL].
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule', 4);
QuarantineFile('c:\program files\active keyboard\hotfiles.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xdn50.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys','');
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
QuarantineFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe','');
DeleteService('Xdn50');
DeleteService('tcpsr');
DeleteService('ati8vgxx');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdn50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys');
DeleteFile('c:\windows\system32\cpl32ver.exe');
DeleteFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Xdn50');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati8vgxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
[QUOTE]
c:\program files\active keyboard - сами ставили?
[/QUOTE]
да
Вот новые логи
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys','');
DeleteService('ati8twxx');
DeleteService('ati6svxx');
DeleteService('ati6oyxx');
DeleteService('ati6gjxx');
DeleteService('ati5rcxx');
DeleteService('ati5hgxx');
DeleteService('ati3fwxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati8twxx');
BC_DeleteSvc('ati6svxx');
BC_DeleteSvc('ati6oyxx');
BC_DeleteSvc('ati6gjxx');
BC_DeleteSvc('ati5rcxx');
BC_DeleteSvc('ati5hgxx');
BC_DeleteSvc('ati3fwxx');
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Карантин выслал.
А вот и новые логи....
svchost в нет больше не лезут, но по логам вроде не излечилось
[QUOTE=ac1ddd;287370]
svchost в нет больше не лезут, но по логам вроде не излечилось[/QUOTE]А что у Вас вызывает подозрения? По моему скромному разумению в логах ничего подозрительного.
[CODE]Функция NtCreateKey (29) перехвачена (80622048->F74040B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80622888->F740984E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F7409BEE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (806233DE->F7404090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80623702->F7409CC6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->F7409B46), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80620708->F7409D58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys[/CODE]
Как я понял это dll от daemon'а. Если с ней проблем нет, то действительно все в порядке. Спасибо :)
[url]http://virusinfo.info/showthread.php?t=30339[/url] ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cpl32ver.exe - [B]Trojan.Win32.Crypt.ua[/B] (DrWEB: BackDoor.Bulknet.237)[/LIST][/LIST]