стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
Printable View
стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Администратор\Администратор.exe');
QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system\netmon.exe','');
QuarantineFile('I:\Run.exe','');
DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('I:\Run.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
BC_DeleteSvc('stisvcSSDPSRV');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('i386si');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('netsik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('securentm');
BC_DeleteSvc('systemntmi');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=46884[/url]
3. Повторите логи.
при выполнении скрипта AVZ вылетает окно
" Invalid data type for "
[QUOTE=Multur;409659]при выполнении скрипта AVZ вылетает окно
" Invalid data type for "[/QUOTE]Скрипт правильный, проверьте , все ли Вы скопировали...
все копирую как у вас и вылетает "Invalid data type for" опять!
вот что в отчете AVZ:
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
Логи после скрипта сделайте.
Да, логи нужны в любом случае. В первый раз Вы ошиблись и вместо лога [B]virusinfo_syscure[/B] загрузили карантин. Постарайтесь во второй раз сделать все правильно.
Сделал всю процедуру по новому..... так как запутался :)
Для начала удалим пачку.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Run.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('ati8qwxx');
DeleteService('ati7qwxx');
DeleteService('ati64si');
DeleteService('ati4flxx');
DeleteService('ati2flxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
DeleteService('ati1kqxx');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('stisvcSSDPSRV');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46884[/url]
опять при выполнении скрипта выдает " Invalid data type for "
прикладываю протокол выполнения скрипта AVZ
[QUOTE=Multur;410237]
прикладываю протокол выполнения скрипта AVZ[/QUOTE] Кто Вас об этом просил?
[QUOTE]Сделать заново логи после перезагрузки.[/QUOTE] ???
Удалите из скрипта PavelA строку
[CODE]SearchRootkit(true, true);[/CODE]
и выполните еще раз скрипт.
[CODE]Удалите из скрипта PavelA строку SearchRootkit(true, true);
и выполните еще раз скрипт[/CODE]
удалил все равно выдает ошибку "Invalid data type for "
А Вы НОД выгружаете перед запуском АВЗ?
Логи по правилам давайте.
а как выключить НОД? я выключаю защиту а как выключить его самого не знаю
[QUOTE=Multur;410272]а как выключить НОД? я выключаю защиту [/QUOTE]Это как?
у меня с право горит НОД но только красный
Последний результат работы вируса на моем компьютере:
1. проник на хостинг моего сайта создал какие то атаки за что заблокирован сайт! (блокировка хостинг провайдером)
2. сейчас на компьютере что то есть в виде вируса но NOD32 его не определяет!
Выполните - если может - скрипт PavelA в безопасном режиме, потом сделайте новые логи в нормальном режиме.
перезагрузил в безопасном режиме компьютер, при этом выключив NOD32 совсем выдает туже ошибку!!!!
может просто выполнить просто еще раз logi
Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
при проверке программой GMER светится красной стракой:
service C:\windows\system32\drivers\vdrv9000.sys(***hidden***)
при сохранении лога все зависло с ошибкой файла \$Mft
сделал лог