Junior Member
Вес репутации
58
win32/TrojanDownloader.Wigon.s
win32/TrojanDownloader.Wigon.s
и такое
модифицированный win32/Wigon
Имеем нод 32. Сегодня после перезагрузки компьютера нод нашёл и обезвредил выше указанный вирус...
Но после перезагрузки всё появляеться по новой и нод сново убивает эту гадость, однако всё повторяется циклично, удаление\перезагрузка\опять эта срань на компьютере...
Вложения
Последний раз редактировалось lixolet; 03.06.2008 в 23:25 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите весь защитный софт и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Xdi04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Taf27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syd40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpp61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp62.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('Xdi04');
DeleteService('tcpsr');
DeleteService('Taf27');
DeleteService('Syd40');
DeleteService('Jpp61');
DeleteService('Flq05');
DeleteService('Fkp15');
DeleteService('Ekp62');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekp62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkp15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flq05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpp61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syd40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Taf27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdi04.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Xdi04');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Taf27');
BC_DeleteSvc('Syd40');
BC_DeleteSvc('Jpp61');
BC_DeleteSvc('Flq05');
BC_DeleteSvc('Fkp15');
BC_DeleteSvc('Ekp62');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23968
ConnectionServices удалите это адваре.
Повторите логи.
Junior Member
Вес репутации
58
Карантин прислал
написало:
Файл сохранён как 080603_143833_virus1_48459db90b78c.zip
Размер файла 101164
MD5 98ca8dc8a1dd1e08a2a615860ddd5efb
сейчас будут повторные логи
Junior Member
Вес репутации
58
Вложения
ConnectionServices - деинсталировать ...
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\Linkdel.cmd/','');
QuarantineFile('linkdel.cmd','');
BC_DeleteSvc('Uaf61');
BC_DeleteSvc('Sxd15');
BC_DeleteSvc('ejO05');
DeleteFile('C:\WINDOWS\System32\Drivers\ejO05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
58
Уважаемый V_Bond
сейчас смотрю свой карантин а у меня там пусто, ни одного файла...
Что делать?
пофиксите ...
Код:
O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
HijackThis повторите ...
Junior Member
Вес репутации
58
Ребят дело в том что уже, проблемма исчезла... перезагружаюсь после каждого действа и нод молчит, а раньше сразу всплывало...
V_Bond делать дальше так как вы сказали?
сделайте последний лог ....
Junior Member
Вес репутации
58
закачал пишет следующее
Файл сохранён как 080603_155545_virus1_4845afd184fdf.zip
Размер файла 84614
MD5 60ce225bbe2670df26472a309fc324d1
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
упс помоему пропустил, извини. Сделать? и по новой?
Добавлено через 6 минут
если будут замечания всё сделаю уже завтра, засыпаю...
Большое вам спасибо за помощь.
Последний раз редактировалось lixolet; 04.06.2008 в 01:17 .
Причина: Добавлено
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 42 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206) c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)