ОС winXP pro sp2, при старте системы через раз нод32 выдает сообщение о wigon.BK, создаются файлы BN.tmp в папке windows/temp
ОС winXP pro sp2, при старте системы через раз нод32 выдает сообщение о wigon.BK, создаются файлы BN.tmp в папке windows/temp
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yej16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vch38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oua51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oty62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hns05.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\wservice.exe',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Hns05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lrw73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nsx62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oua51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vch38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yej16.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportAll; BC_DeleteSvc('Hns05'); BC_DeleteSvc('Oua51'); BC_DeleteSvc('Oty62'); BC_DeleteSvc('Nsx62'); BC_DeleteSvc('Yej16'); BC_DeleteSvc('Vch38'); BC_DeleteSvc('Lrw73'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21310
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 1 минутуКод:O2 - BHO: C:\WINDOWS\system32\hd783fdg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
Повторите логи.
Последний раз редактировалось wise-wistful; 10.04.2008 в 10:59. Причина: Добавлено
последние логи
карантин тоже выложил, вроде щас все ОК
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys - это Вам знакомо? Если нет, тогда его и wservice.exe - поищите при помощи АВЗ--сервис--поиск файлов. Если первый файл знаком, тогда пришлите только второй.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc16.sys'); BC_ImportDeletedList; BC_DeleteSvc('Qwc16'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
не нашел ни первого ни второго
логи. файлы так и не нашлись. может чо не так делаю?
Скачал на всякий случай по новой авз и хайджек, хотя и были последние. Вот последние логи, извиняюсь если что не так, вроде все делал по инструкции
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\bureeva\Рабочий стол\spfhlp.sys'); DeleteFile('C:\WINDOWS\system32\wservice.exe'); BC_ImportDeletedList; BC_DeleteSvc('spfhlp.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
Извиняюсь за задержку, не было возможности проделать все сразу. Скрипт выполнил, а вот пофиксить не удалось, т.к. эти строки отсутствуют. При возможности обязательно выложу логи, пока такой возможности нет. В любом случае огромное спасибо за помощь, еще раз извиняюсь.
Отсутствие строчек говорит о том, что АВЗ хорошо паработала и прибила врага.
)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.hx (DrWEB: Trojan.DownLoader.56882)
Уважаемый(ая) shrm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.