Wigon troyan

Здравствуйте!!! Мне очень нужна Ваша помощь!!!! У меня на компе завелся Wigon troyan!! Антивирусник у меня НОД. При каждом включении компьютера он выдает что удален какой-то зараженный файл(сегодня, например, C:/WINDOWS/system32/drivers/Winmr26.sys модифицированный Wigon troyan). Началось это с 26.05.2008. В безопасный режим не могу зайти. Выдает:на черном экране первый раз-Press Esc to cancel loading SPTP.sys, потом сразу же Press Esc to cancel loading a347byc.sys. Я пропустила этот пункт. Скачала остальные утилиты. Обновила базы. У меня возникла проблема: как отключить нод?(просто отключить защиту от вирусов и шп.программ? или вообще удалить его? или как он отключается?? Интернет с Вашим сайтом можно оставить?? ПОЖАЛУЙСТА, ПОМОГИТЕ!!!:(

[QUOTE=pussylovecat;241428]У меня возникла проблема: как отключить нод?(просто отключить защиту от вирусов и шп.программ? или вообще удалить его? или как он отключается?? Интернет с Вашим сайтом можно оставить?? ПОЖАЛУЙСТА, ПОМОГИТЕ!!!:([/QUOTE]

По значку NOD-а -> отключить/закрыть/остановить/выход (что то подобное будет)

Или два раза по значку щелкните (Чтоб окно программы появилось) там отключить/закрыть/остановить/выход (что то подобное будет)


Между 7 и 8 пунктами правил написано как нужно сделать.

Вот...что у меня получилось

:upset:Все правильно?? Или я что-то сделала не так??

Нод по-ходу теперь продается вместе с булкнетом:( подумайте о замене антивируса!

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFFFFFF-DAD2-4a4c-848D-2CBFC6F0FD21}');
QuarantineFile('bsn32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('c:\89y6cz.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwb26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winko04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winim72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winim04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincg26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincg15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vae50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tyd83.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Quy15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ptx50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Otx26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fjn04.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\lmprlh.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dim72.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('Winye48');
DeleteService('Winxc48');
DeleteService('Winwb26');
DeleteService('Winsw72');
DeleteService('Winqu85');
DeleteService('Winnr83');
DeleteService('Winnr37');
DeleteService('Winnr15');
DeleteService('Winlp83');
DeleteService('Winlp04');
DeleteService('Winkp50');
DeleteService('Winko04');
DeleteService('Winjo72');
DeleteService('Winjn83');
DeleteService('Winim72');
DeleteService('Winim04');
DeleteService('Winhl72');
DeleteService('Winfj50');
DeleteService('Winfj27');
DeleteService('Winej15');
DeleteService('Winei50');
DeleteService('Wincg26');
DeleteService('Wincg15');
DeleteService('Winbf61');
DeleteService('Vae50');
DeleteService('Tyd83');
DeleteService('tcpsr');
DeleteService('Quy15');
DeleteService('Ptx50');
DeleteService('Otx26');
DeleteService('Nrv15');
DeleteService('Fjn04');
DeleteService('dpti930');
DeleteService('Dim72');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Dim72.sys');
DeleteFile('C:\WINDOWS\system32\drivers\lmprlh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fjn04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Otx26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ptx50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Quy15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tyd83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vae50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winko04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlp04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlp83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsw72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');
DeleteFile('c:\89y6cz.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('bsn32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин и повторите логи.

я выполнила скрипт. Компьютер сам автоматически перезагрузился. Не совсем поняла..:?в смысле "прислать карантин"?? А где он? Это значит сделать пункты правил с 8 по 13???? Или нет...:(?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

:-\Если имеется в виду карантин avz, то сейчас там находятся файлы:C:\WINDOWS\system32\bsn32.dll;
C:\WINDOWS\system32\WinCtrl32.dll

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Ну где же Вы?!!!:sos: Объясните, please!!! Или это надо заходить в сам карантин...выделить эти файлы и заархивировать?? А то я сейчас натворю дел...:(

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Я нажала сверху "Прислать запрошенный карантин". И загрузила файл... Я пока все правильно сделала? Теперь повторяю логи

Не спешите,вы у нас не одни...

Карантин пришлите согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

Повторить логи это значит выполнить пункты 8-13

Простите, пожалуйста...:blush: я все понимаю...не буду торопиться..и паниковать..
:blush:
а вот логи...

а до вас дошел карантин? или я что-то не то сделала?

Уже почти хорошо:)

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Xcg83');
DeleteService('Winwb26');
DeleteService('Winot48');
DeleteService('Winnr15');
DeleteService('Winej73');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwb26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xcg83.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xcg83 ');
BC_DeleteSvc('Winwb26 ');
BC_DeleteSvc('Winot48 ');
BC_DeleteSvc('Winnr15 ');
BC_DeleteSvc('Winej73 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил

Вот они...:girl_hide:

:blush:я хоть то прислала?? два вложения нужно было?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

:blush:а как насчет карантина?...все в норме?..

Чисто,жалобы есть?

О,БОЖЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ОГРОМЕННОЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!НЕТ СЛОВ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!:dance::clapping:
Очень-очень прошу, пожалуйста...ответте на вопросы, которые мне совсем покоя не дают!!!:blush:
1.Мой компьютер теперь полностью чист??????
2Данный вирус был сильно опасен? Откуда цепляются вирусы??(в основном сижу в аське, вконтакте и на рамблере...скачиваю мало...только если песни с зайцев нет)-отсюда??
3.Система теперь будет полноценно работать или возможны сбои?
4. Подскажите, ПОЖАЛУЙСТА, что делать, чтобы вирусов больше не было...у меня вечная с ними проблема.(на старом компе как-то было 2600 вирусов!!) и на этом месяц назад было 500! Какой антивирусник лучше поставить, чтобы операционную систему не перегружал и макс защищал??
5.Можно пользоваться Maxthon? или нежелательно?
6.Иногда, когда загружаются какие-нибудь страницы ...выдается ошибка сценария. Это нормально или вирус?
7.А если у меня будут еще проблемы или вопросы, мне начинать новую тему?
Если Вы мне поможете еще и ответами на эти вопросы...я буду БЕСКОНЕЧНО Вам БЛАГОДАРНА!!!!!!!!!!!!!!!!:blush:

1.Да(очистите временные папки и кеш браузера)
2.Да,от вас рассылался спам,подцепить можно где угодно...
3.Вполне возможно:)
4.KIS+прочитать это [url]http://security-advisory.virusinfo.info/[/url]
5.Не нужно,лучше FF или Opera
6.Это нормально...
7.Да

:wacko2::D

Good Luck!!!

и еще..System Volume Information-пустая папка на диске Д, Thumbs.db-везде, RECYCLER-на Д(но там есть программка anti_autorun.exe)-это нормально?? или вирус?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Еще один вопросик..последний,наверно...:blush::" очистите временные папки и кеш браузера" -это как?...мне стыдно, конечно...но я не знаю... Подскажите, пожалуйста!

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

А мне говорили, что KIS много оперативки занимает и это очень вредно для компьютера. А какую версию? Лучше лицензионную или,как все, не тратиться и скачать в интернете?

Лучше бы не писал:D

Это так:Пуск,Выполнить,наберите %tmp% и удалите все что там есть...

:Dну ладно уже...не злитесь на "чайника"...
а на предыдущих два вопроса , please, ответте...:) и я больше...по крайней мере..в ближайшее время...не побеспокою:)

[QUOTE]и еще..System Volume Information-пустая папка на диске Д, Thumbs.db-везде, RECYCLER-на Д(но там есть программка anti_autorun.exe)-это нормально?? или вирус?[/QUOTE]

Нормально...

[QUOTE]А мне говорили, что KIS много оперативки занимает и это очень вредно для компьютера. А какую версию? Лучше лицензионную или,как все, не тратиться и скачать в интернете?[/QUOTE]

Поверьте антивирус(KIS) не вреднее того,что у вас было:D конечно нужна лицензия,вам саппорт нужен:)

Еще раз ОГРОМЕННОЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Вы самый ДОБРЫЙ, ТЕРПЕЛИВЫЙ, ЛУЧШИЙ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
:kiss2:Я,конечно, понимаю, что это Ваша работа:wink3:...но Вы сделали меня очень счастливой:помимо того, что сегодня второй экзамен на отл.сдала, еще и комп здоров!!!!!!:yahoo:
Всего Вам САМОГО НАИЛУЧШЕГО!!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Что такое саппорт?

:furious3::censored::D это тех.поддержка

:bye2:

я сама нашла...;)
служба поддержки!!!
Еще раз спасибки!!!! Пока!!!:kiss2:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\bsn32.dll - [B]Backdoor.Win32.Agent.kqj[/B] (DrWEB: BackDoor.Banker.4)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.agx[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]