Помогити! Меня атакует TrojanDownloader.Wigon.BS. Nod32 отражает и так несколько часов. Вылечить или убить нельзя, ведь когда комп подключьон к нету, атаки есть, отключаю - атак нет, глубокое сканирование ничего не видит.
Помогити! Меня атакует TrojanDownloader.Wigon.BS. Nod32 отражает и так несколько часов. Вылечить или убить нельзя, ведь когда комп подключьон к нету, атаки есть, отключаю - атак нет, глубокое сканирование ничего не видит.
Помогите пожалуйста вылечиться
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\afd.dll','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('43CE4EF6D23A6078');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('SCPDFReadSpool');
QuarantineFile('C:\WINDOWS\Installer\MSIB35.tmp','');
QuarantineFile('c:\documents and settings\admin\admin.exe','');
DeleteFile('c:\documents and settings\admin\admin.exe');
DeleteFile('C:\WINDOWS\Installer\MSIB35.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
повторные логи
Спасибо за помощь, вирус больше не дает о себе знать))))
[B][COLOR="Red"]Скачайте AVZ который у меня в подписи и далее работайте только с ним![/COLOR][/B]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\afd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('43CE4EF6D23A6078');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('navigator');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Выкладываю
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('43CE4EF6D23A6078');
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscheck.[/B]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{7C5A3EC2-B507-402A-9378-8BBDA6E0BB78}: NameServer = 192.168.1.1,195.5.46.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250[/QUOTE]
Эти адреса Вам известны? Если нет, то [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите.[/URL]
Лог. Сейчас буду фиксить
Пофиксила, как указанно при переходе по ссылке, предоставленной Вами, но мне выдало просто чистый белый лист. Не знаю, может я что-то не так сделала, так как делала это первый раз.
[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]
После перезагрузки, проделала процедуру еще раз. Был обноружен только O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250. Когда нажала "Fix Checked", появился опять белый лист. Каким должен быть результат, я не знаю.
сделайте полный комплект логов ...
логи
Ukrtelecom Kiev - ваш провайдер ?
Использую ОГО, в г.Луганск
Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
Gmer.log
Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.
[CODE]gmer.exe -del service 43CE4EF6D23A6078
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security@Security"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security@Security"
gmer -reboot[/CODE]
Извините, я понимаю, что задаю глупый вопрос, но подскажите пожалуйста, как это сделать. Спасибо!
То, что в рамочке - выделить мышью. Затем - Ctrl+C (скопировать в буфер).
Позвать Блокнот, в нём сделать Ctrl+V (вставить из буфера).
Затем, в Блокноте же - Ctrl+S (сохранить). Выберите каталог, где у вас лежит gmer.exe, имя файла укажите "start.bat" (обязательно с кавычками).
Закрываете Блокнот, идёте в каталог, куда сохранили файл, видите там командный файл MS-DOS с именем [B]start[/B]. Запускаете его двумя щелчками мыши.
Огромное спасибо! Сейчас сделаю!