Уже наверное неделю при подключении к Интернету выходит сообщение о вирусе Win32/wigon.BY и модифицированном Wigon. Первый вроде результат работы svchost.exe, а второй C:\DOCUME~1\9335~1\LOCALS~\Temp\BN21.tmp, причем путь один и тот же,а конечный файл каждый раз разный. Антивирус NOD32, проверка ничего не дает, вирусов яко бы нет. Почитала анологичные сообщения, действительно в процессах висит куча svchost.exe.
Нужен скрипт срочно! Помогите, пожалуйста!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите:
- ПК от интернета/локалки
- Антивирус и Файрволл.
- Системное восстановление
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\System32\Drivers\ati1cgxx.sys C:\WINDOWS\System32\Drivers\ati4otxx.sys C:\WINDOWS\System32\Drivers\ati5koxx.sys C:\WINDOWS\System32\Drivers\ati5swxx.sys C:\WINDOWS\System32\Drivers\ati7gkxx.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yej83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xdh73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Sye05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Flp27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati7gkxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5swxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5koxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4otxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1cgxx.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); TerminateProcessByName('c:\windows\system32\cpl32ver.exe'); DeleteService('ati7gkxx'); DeleteService('ati5swxx'); DeleteService('Sye05'); DeleteService('Yej83.sys'); DeleteService('Xdh73'); DeleteService('ati5koxx'); DeleteService('ati4otxx'); DeleteService('ati1cgxx'); DeleteService('Gmr38'); DeleteService('Flp27'); DeleteService('Fkp51'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1cgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4otxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5koxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5swxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7gkxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fkp51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Flp27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gmr38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sye05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xdh73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yej83.sys'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('ati7gkxx'); BC_DeleteSvc('ati5swxx'); BC_DeleteSvc('Sye05'); BC_DeleteSvc('Yej83.sys'); BC_DeleteSvc('Xdh73'); BC_DeleteSvc('ati5koxx'); BC_DeleteSvc('ati4otxx'); BC_DeleteSvc('ati1cgxx'); BC_DeleteSvc('Gmr38'); BC_DeleteSvc('Fkp51'); BC_DeleteSvc('Fkp51'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению
Добрый вечер.
Вроде все пункты прошла. Файлы С:\WINDOWS\System32\drivers\ati......sys не удалила - не нашла. В карантине NODа они были, удалила.
При подключении вирусы не обнаружены. Хотя в процессах svchost.exe висят 5 штук.
Высылаю логи.
выполните скрипт
irusinfo_syscheck.zip повторитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('ati8lpxx'); BC_DeleteSvc('ati5mrxx'); BC_DeleteSvc('ati5bgxx'); BC_DeleteSvc('ati4lqxx'); BC_DeleteSvc('ati1vbxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1vbxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4lqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5bgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5mrxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8lpxx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Высылаю virusinfo_syscheck.
Чисто в логе.
Какие проблемы?
Теперь никаких. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\progra~1\\mycent~1\\infobar\\mycentriainfobar. dll - not-a-virus:AdWare.Win32.MyCentria.m (DrWEB: Trojan.Mycentria.17)
- c:\\progra~1\\mycent~1\\infobar\\mycent~1.dll - not-a-virus:AdWare.Win32.MyCentria.m (DrWEB: Trojan.Mycentria.17)
- c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Crypt.ua (DrWEB: BackDoor.Bulknet.237)
Уважаемый(ая) Jesy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
