Показано с 1 по 12 из 12.

Как избавиться от Win32/Wigon.Z, Win32/Rootkit.Agent.NDF, Win32/Rootkit.Agent.DP (заявка № 14275)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60

    Thumbs up Как избавиться от Win32/Wigon.Z, Win32/Rootkit.Agent.NDF, Win32/Rootkit.Agent.DP

    При каждой перезагрузке компьютера NOD32 находит и удаляет файлы с вирусами:

    D:\DOCUME~1\ANN&SE~1\LOCALS~1\Temp\435468.exe Win32/Wigon.Z on a new file created by the application: D:\Program Files\Internet Explorer\IEXPLORE.EXE.

    D:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.NDF trojan on a new file created by the application: d:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe.

    D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys Win32/Rootkit.Agent.DP trojan an attempt to run the file by the application: d:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe.

    При подключении к интернету постоянно присутствует левый трафик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    1.В avz выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('%WinDir%\Temp\startdrv.exe','');
     QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
     QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
     QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
     DeleteFile('%Windir%\Temp\startdrv.exe');
     DeleteFile('%Windir%\system32\drivers\runtime2.sys');
     DeleteFile('%Windir%\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\Program Files\ConnectionServices\ConnectionServices.dll',' ');
     DeleteFile('E:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
     DeleteFile('autorun.bat');
     DeleteFile('D:\Program Files\ConnectionServices\ConnectionServices.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60
    Выслал карантин. После выполнения скрипта и перезагрузки, NOD32 вроде бы ругаться перестал. Что делать дальше? Заранее спасибо!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    d:\program files\connectionservices\connectionservices.dll - рекламная программа not-a-virus:AdWare.Win32.BHO.kj

    1.В avz выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZPMStatus(true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\sal.xls.exe',' ');
     QuarantineFile('D:\sal.xls.exe',' ');
     QuarantineFile('E:\sal.xls.exe',' ');
     DeleteFile('C:\sal.xls.exe');
     DeleteFile('D:\sal.xls.exe');
     DeleteFile('E:\sal.xls.exe');
     BC_ImportALL;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

    И повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60
    Карантин отправлен. А вот и обновленные логи:
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    1.В avz выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\Drivers\UP60bus.sys','');
     QuarantineFile('d:\windows\system32\tcpsvcs.exe','');
     DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('D:\Program Files\ConnectionServices\ConnectionServices.dll');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Пофиксить в HiJackThis
    Код:
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - D:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
    3.Выслать карантин согласно приложению 3 правил

  8. #7
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60
    Карантин отправлен.
    Следующий пункт пофиксить не удалось по причине отсутствия такового при сканировании HijackThis:
    O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Что из этого нужно ?
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    И сделайте дополнительный лог

  10. #9
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60
    Из этого не нужно ничего, уже отключил. Список потенциальных уязвимостей в логе теперь пустой. Дополнительный лог:
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не вижу ничего явно зловредного ...
    какие проблемы остались ?

  12. #11
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    10
    Вес репутации
    60
    А не явно зловредного?
    Да нет, ничего явно заметного и бросающегося в глаза нет. Спасибо огромное!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.dfn (DrWEB: Win32.HLLW.Autoruner.294)
      2. d:\\autorun.inf - Worm.Win32.AutoRun.dfn (DrWEB: Win32.HLLW.Autoruner.294)
      3. d:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
      4. e:\\autorun.inf - Worm.Win32.AutoRun.dfn (DrWEB: Win32.HLLW.Autoruner.294)


  • Уважаемый(ая) Aliensv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Избавиться от Win32/Rootkit.Agent.NBM
      От Sam1968 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 10:11
    2. Win32/Wigon.Z и Win32/Rootkit.Agent.NDF
      От art1k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:56
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00
    5. Два трояна: Win32/Wigon.AV и Win32/Rootkit.Agent.DP
      От murka135 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.02.2008, 02:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00986 seconds with 18 queries