комп словил Win32/Wigon. Прошу проверить результаты лечения
Printable View
комп словил Win32/Wigon. Прошу проверить результаты лечения
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\LoviVkontakte\VkontakteService.exe','');
QuarantineFile('C:\LoviVkontakte\lovivkontakte.exe','');
QuarantineFile('C:\WINDOWS\ZSSnp211.exe','');
DelBHO('{7558B7E5-7B26-4201-BEDB-00D5FF534523}');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
SetServiceStart('i386si', 4);
BC_DeleteSvc('i386si');
SetServiceStart('ati64si', 4);
BC_DeleteSvc('ati64si');
SetServiceStart('amd64si', 4);
BC_DeleteSvc('amd64si');
SetServiceStart('acpi32', 4);
BC_DeleteSvc('acpi32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Файл "hosts" сами изувечили?
[CODE]88.198.72.190 css.yandex.net #AdwMtam_MicroSoft
127.0.0.1 vkontakte.ru
127.0.0.1 www.vkontakte.ru
[/CODE]
3.Повторить логи
1. Сделал
2. hosts почистил. Изувечил не я:)
3. Сделал
4. ess4 орёт на
24.06.2009 22:17:51 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temporary Internet Files\Content.IE5\RWG4CVB2\load[1].exe Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:17:51 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:17:25 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:17:25 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temp\RarSFX1\install.exe Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:17:24 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temp\~TM88.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:17:24 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 22:09:22 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_1.tmp Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
24.06.2009 21:57:54 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vdqxnjyx.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
Файл virusinfo_[B]cure[/B].zip в тему прикреплять нельзя!
Читайте правила внимательнее.
Очистите папки:
C:\Documents and Settings\Mike\Local Settings\Temp
C:\WINDOWS\Temp.
Удалите временные файлы IE через [I]Свойства обозревателя[/I].
На будущее: [B]выполняя скрипты в AVZ, отключайте антивирус![/B]
Вот например:
[QUOTE]24.06.2009 21:57:54 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vdqxnjyx.sys вероятно модифицированный Win32/Agent троянская программа [COLOR="Red"]очищен удалением - изолирован [/COLOR][/QUOTE]
а это был драйвер AVZ!
Что за программка LoviVkontakte?
Ее лучше деинсталлировать, уж очень она подозрительная.
VkontakteService.exe - [B]Trojan.Win32.Qhost.lqw[/B] (ЛК)
в то время как lovivkontakte.exe - чистый...
Больше ничего плохого в логах не видно.
[QUOTE=Bratez;422608]Файл virusinfo_[B]cure[/B].zip в тему прикреплять нельзя!
Читайте правила внимательнее.
Очистите папки:
C:\Documents and Settings\Mike\Local Settings\Temp
C:\WINDOWS\Temp.
Удалите временные файлы IE через [I]Свойства обозревателя[/I].
Сделано:)
На будущее: [B]выполняя скрипты в AVZ, отключайте антивирус![/B]
он те отключался, вылетал с ошибкой ekrnl:O
Вот например:
а это был драйвер AVZ!
Что за программка LoviVkontakte?
Ее лучше деинсталлировать, уж очень она подозрительная.
VkontakteService.exe - [B]Trojan.Win32.Qhost.lqw[/B] (ЛК)
в то время как lovivkontakte.exe - чистый...
Сделано:)
Больше ничего плохого в логах не видно.[/QUOTE]
СПАСИБО:clapping::beer:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\lovivkontakte\vkontakteservice.exe - [B]Trojan.Win32.Qhost.lqw[/B][/LIST][/LIST]