win??.sys
Windows XP professional, антивирус nod 32.
При включении компьютера нод находит вирус в файле C:\windows\sistem32\drivers\win??.sys, нод распознает его как троян win32/wigon, до проверки avz нод распознавал его как win32/trojandownloader.wigon.o. Когда компьютер подключен к интернету через трафик инспектор, пропадает интернет во всей сети.
Последний раз редактировалось bo4karev; 03.03.2009 в 09:45.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winty15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winot83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winns72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windi61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch48.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winch27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\tyE26.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteService('Winxd83'); DeleteService('Winxd50'); DeleteService('Winvb61'); DeleteService('Winvb15'); DeleteService('Winty15'); DeleteService('tyE26'); DeleteService('Winsx83'); DeleteService('Winot83'); DeleteService('Winns72'); DeleteService('Winhm50'); DeleteService('Winhl26'); DeleteService('Winej61'); DeleteService('Windi61'); DeleteService('Winch48'); DeleteService('Winch27'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\tyE26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhl26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd83.sys'); DeleteFile('WinCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Высылаю логи.
Последний раз редактировалось bo4karev; 03.03.2009 в 09:45.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Повторите логи с п.10 правилКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winta61'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta61.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winta61 '); BC_Activate; RebootWindows(true); end.
Высылаю логи
Последний раз редактировалось bo4karev; 03.03.2009 в 09:45.
Чисто,жалобы есть?
Уже после первого скрипта вроде инет не пропадал. Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ado (DrWEB: Trojan.MulDrop.16399)
Уважаемый(ая) bo4karev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
