Здравствуйте.
Компьютер заражен трояном Wigon, nod32 его
периодически находит, но не лечит.
Прошу помощи экспертов.
Printable View
Здравствуйте.
Компьютер заражен трояном Wigon, nod32 его
периодически находит, но не лечит.
Прошу помощи экспертов.
почему логи safe mode .... все делать в нормальном режиме
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\winmzgFPY30Kx.exe','');
QuarantineFile('D:\setup.exe','');
QuarantineFile('D:\autorun.inf','');
DelBHO('{7B78D0DE-65FD-4B55-8502-8A1E747C28D5}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\brelib.dll','');
DelBHO('{B200799F-9538-403d-9A6E-36F5942EC540}');
QuarantineFile('C:\WINDOWS\SYSTEM32\fdlame32.dll','');
QuarantineFile('D:\qttask.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\senekadf.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\Cursors\services.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winmzgFPY30Kx.exe','');
DeleteService('Winye27');
DeleteService('Winvb27');
DeleteService('Winub27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub27.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye27.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winmzgFPY30Kx.exe');
DeleteFile('C:\WINDOWS\Cursors\services.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('\\?\globalroot\systemroot\system32\senekadf.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\fdlame32.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\brelib.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\setup.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\winmzgFPY30Kx.exe');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скрипт выполнил успешно.
Логи высылаю.
Карантин высылаю.
PS Safe Mode пришлось применить, тк комп жутко
тормозил. Позже выяснилось, что DSL-модем коннекцию
с провайдером потерял, думаю из-за этого.
Это второй случай заражения Wigon-ом домашних компьютеров знакомых.
Есть ли антивирус, который самостоятельно справляется c Wigon?
выполните скрипт
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb27.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
Скрипт выполнился быстро, но без ошибок.
Карантин закачал.
ksi32sk.sys-[B]Rootkit.Win32.Agent.fsx[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvb27');
DeleteService('systemntmi');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb27.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winvb27');
BC_DeleteSvc('systemntmi');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Скрипт выполнился, карантин закачал.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: pl - {B200799F-9538-403d-9A6E-36F5942EC540} - C:\WINDOWS\SYSTEM32\fdlame32.dll (file missing)
O20 - AppInit_DLLs: \\?\globalroot\systemroot\system32\senekadf.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\fdlame32.dll');
DeleteFile('\\?\globalroot\systemroot\system32\senekadf.dll ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
вот логи
ничего плохого ...
Спасибо многоуважаемым хелперам!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\local settings\\temp\\winmzgfpy30kx.exe - [B]Trojan-Downloader.Win32.Mutant.bya[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\docume~1\\user\\locals~1\\temp\\winmzgfpy30kx.exe - [B]Trojan-Downloader.Win32.Mutant.bya[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\windows\\system32\\drivers\\ksi32sk.sys - [B]Rootkit.Win32.Agent.fsx[/B] (DrWEB: Trojan.DownLoad.24465)[*] c:\\windows\\system32\\fdlame32.dll - [B]Trojan.Win32.BHO.ibp[/B] (DrWEB: Trojan.BhoWatcher.55)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bqb[/B] (DrWEB: BackDoor.Bulknet.225)[*] \\\\?\\globalroot\\systemroot\\system32\\senekadf.dll - [B]Trojan.Win32.Agent.aykk[/B] (DrWEB: BackDoor.Tdss.37)[/LIST][/LIST]