Printable View
Здравствуйте!
19.09.08 словил вирус. NOD32 ловит при каждой загрузке виндовз что-то типа:
C:\WINDOWS\System32\drivers\Windj05.sys
Win32/Wigon.CK троян
Событие в новом файле , созданным приложением C:\WINDOWS\TEMP\BN2.tmp. Файл был перемещен в карантин.
И при перезагрузке опять то же самое, только другие названия файлов...
Помогите, плз!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj05.sys','');
DeleteService('Winxe84');
DeleteService('Winrx40');
DeleteService('Winou62');
DeleteService('Windj05');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj05.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxe84');
BC_DeleteSvc('Winrx40');
BC_DeleteSvc('Winou62');
BC_DeleteSvc('Windj05');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы
- Прикрепите логи к новому сообщению.
[LEFT]Спасибо!
Скрипт запустил.
Темпы почистил, как текущего пользователя (администратора), так и основного, кто работает за компьютером (группа Users)
Сперва забыл включить браузер, делая первый лог avz. Переделал с включенным браузером, и именно этот вариант прикрепил сюда.
[B]Вопрос![/B] Нужно ли было включаться в сеть перед тем как делать второй лог avz (как написано в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL]), или не нужно, а включаться лишь после всех логов, как пишете вы?
Карантин загрузил. Получили?[/LEFT]
[QUOTE=hooke;287776][B]Вопрос![/B] Нужно ли было включаться в сеть перед тем как делать второй лог avz [/QUOTE]
Отключение от сети - чистая мера предосторожности, т.к. на время выполнения скриптов и логов необходимо выгружать зашитные приложения. Для АВЗ это не имеет никакого значения.
[QUOTE=hooke;287776]
Карантин загрузил. Получили?[/QUOTE]
Если Вы получили подтверждение Файл Закачан, то получили ;)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj62.sys','');
DeleteService('Winkq38');
DeleteService('Windj62');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq38.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winkq38');
BC_DeleteSvc('Windj62');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы
- Прикрепите логи к новому сообщению.
Скрипт выполнил.
Перезагрузился
Логи собрал.
Карантин закачал. Хотя вроде туда 2 лишних файла попало...
Вопрос! Я не перегружался между 1м и 2м логами avz. Насколько нужна эта перегрузка?
Спасибо
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]Больше ничего плохого не вижу.
Сервис Пак 3 нужно поставить, возможно потребуется активация системы.
[QUOTE=hooke;287897]Я не перегружался между 1м и 2м логами avz. Насколько нужна эта перегрузка? [/QUOTE]
Насколько важно, остановиться на красный свет на светофоре?
Есть ПРАВИЛА, их нужно придерживаться.
Пофиксил, спасибо!
Про вирус уже сообщений нет, но почему то винда некое неизвестное устройство (2 штуки) проинсталить хочет.
Код устройства:
ROOT\LEGACY_UTM4ODYY\0000
и
ROOT\LEGACY_UZM4ODYY\0000
Что это такое, не подскажете? Может удалить?
[quote] Цитата:
Сообщение от [B]hooke[/B] [URL="http://virusinfo.info/showthread.php?p=287897#post287897"][IMG]http://virusinfo.info/images/buttonsru/viewpost.gif[/IMG][/URL]
[I]Я не перегружался между 1м и 2м логами avz. Насколько нужна эта перегрузка?[/I]
Насколько важно, остановиться на красный свет на светофоре?
Есть ПРАВИЛА, их нужно придерживаться.
[/quote]
ОК.
[QUOTE=hooke;288114] Может удалить?[/QUOTE]Да.
Удалил. Все вроде в порядке, работает.
Кстати, когда был вирус, почему-то глючил флэш-плеер. Браузер зависал. Теперь работает!
Спасибо!:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\mulyarchuk\\local settings\\temporary internet files\\content.ie5\\854tqvwh\\load[1].exe - [B]Trojan-Downloader.Win32.Agent.aext[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bni[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]