Junior Member
Вес репутации
58
Модифицированный Win32/Wigon
При подключении к интернету и запуске Internet Explorer, появляется предупреждение NOD32:
Файл: C:\WINDOWS\System32\drivers\Bgo55.sys
Вирус: Модифицированный Win32/Wigon
Комментарий:
Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BNA.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
Названия файлов *.sys и *.tmp при каждом запуске компьютера разные.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ad-Aware 2007 - деисталировать...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
QuarantineFile('C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll','');
DeleteService('Ywv88');
DeleteService('Yud77');
DeleteService('xmL66');
DeleteService('wqY55');
DeleteService('Wincm88');
DeleteService('Vra77');
DeleteService('Tpf77');
DeleteService('Tjr55');
DeleteService('tcpsr');
DeleteService('Ssr88');
DeleteService('Rgh66');
DeleteService('Qrq33');
DeleteService('Odu66');
DeleteService('Lmc66');
DeleteService('Kgf00');
DeleteService('ghG55');
DeleteService('Gay44');
DeleteService('Eqy22');
DeleteService('eoN66');
DeleteService('Dyx33');
DeleteService('Dyh00');
DeleteService('Cxp88');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('c:\program files\bwmeter\bwmeter.exe','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Cxp88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dyh00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dyx33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eoN66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Eqy22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gay44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ghG55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kgf00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lmc66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Odu66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Psr11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qrq33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rgh66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ssr88.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tjr55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tpf77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vra77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincm88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wqY55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xmL66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yud77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ywv88.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt32.dll');
DeleteFile('C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Высылаю карантин и повторно логи
Ad-Aware 2007 - деисталлирован
Скрипт выполнен
Вложения
Ad-Aware 2007-жив и здоров подчистим скриптом...
Пофиксить
Код:
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('aawservice', 4);
StopService('aawservice');
DeleteService('Bgo55');
DeleteService('aawservice');
DeleteFile('C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bgo55.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Bgo55 ');
BC_DeleteSvc('aawservice ');
BC_Activate;
RebootWindows(true);
end.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи с п.10 правил
Junior Member
Вес репутации
58
Вложения
ничего подозрительного ...
Было: WinNt32.dll - Trojan-Downloader.Win32.Mutant.adh
Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 12:52 .
Junior Member
Вес репутации
58
Симптомов больше не наблюдаю.
Спасибо за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)