-
Подсобите убить Win32/Wigon (по NOD32)
Добрый день!
Боролся с Win32/Wigon-trojan (по определению NOD32). НОД больше его не видит, но он там есть! CureIT! в безопасном режиме ничего не нашел. Помогите добить.
PS: поймал странный файл "cic1bt.exe". заархивировал и запаролил по правилам. Куда его прислать на проверку?
Последний раз редактировалось Sergo73; 16.07.2008 в 17:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Sergo73
Куда его прислать на проверку?
А правила прочитать до конца слабо? Сюда качайте: http://virusinfo.info/upload_virus.php?tid=24361
-
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winty73');
BC_DeleteSvc('Winjo73');
BC_DeleteSvc('Winin62');
BC_DeleteSvc('Winej04');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty73.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Закачал по ссылке. (Не хотел закачивать незапрошенный файл :-))
Файл сохранён как080610_064008_cic1bt_484e68183926c.zip
Размер файла11122
MD5bd6420ab204f505da66053d4255777f2
Сейчас выполню скрипт и пришлю логи.
-
Карантин закачал:
Файл сохранён как080610_071306_virus_484e6fd2cc6bc.zip
Размер файла13429
MD5ee57d606953bdc7ea3a211296f86ac5d
Новые логи:
Последний раз редактировалось Sergo73; 16.07.2008 в 17:14.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winty04');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty04.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winty04 ');
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Повторите логи с п.10 правил
-
-
Последний раз редактировалось Sergo73; 16.07.2008 в 17:14.
-
-
-
Жалоб нет. Спасибо Огромное!!!
-
Систему обновить в ближайшее время необходимо
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer
v6.00 SP2 (6.00.2900.2180)
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Спасибо за напоминание, уже обновил до СП3. Хотелось бы знать, что было в отправленном мной файле cic1bt.zip и в карантине?
-
В присланном Вами файле не найдено ничего вредоносного.
-