Здравствуйте! На компе завёлся вирус Wigon Trojan. NOD 32 при перезагрузке удаляет новые файлы, созданные вирем. Помогите, пожалуйста.
Здравствуйте! На компе завёлся вирус Wigon Trojan. NOD 32 при перезагрузке удаляет новые файлы, созданные вирем. Помогите, пожалуйста.
ConnectionServices - деинсталировать ..
скачайте C:\WINDOWS\System32\Drivers\Winai10.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\pebgkxwq.exe',''); DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}'); QuarantineFile('C:\WINDOWS\inetloader.dll',''); DelBHO('{CF55DD2E-1E2C-44F7-8514-A94864AC2990}'); DelBHO('{79C5FC7A-CC0D-4820-B61F-BDE6DA53E531}'); DelBHO('{63A88B83-7D1F-4A51-B195-1D7F67F4E1F7}'); BC_DeleteSvc('Winpx21'); BC_DeleteSvc('Winnu07'); BC_DeleteSvc('Winmu18'); BC_DeleteSvc('Winiq31'); BC_DeleteSvc('Winhp43'); BC_DeleteSvc('Wincj43'); QuarantineFile('C:\WINDOWS\System32\drivers\Winai10.sys',''); QuarantineFile('C:\WINDOWS\xkefqtgs.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\khfCUoMF.dll',''); QuarantineFile('C:\WINDOWS\system32\mlJbXqrO.dll',''); DeleteFile('C:\WINDOWS\system32\mlJbXqrO.dll'); DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\xkefqtgs.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winai10.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincj43.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhp43.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiq31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmu18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnu07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpx21.sys'); DeleteFile('C:\WINDOWS\rnopbfgt.dll'); DeleteFile('WinCtrl32.dll'); DeleteFile('mlJbXqrO.dll'); DeleteFile('C:\WINDOWS\kvsdpfearbl.dll'); DeleteFile('C:\WINDOWS\inetloader.dll'); DeleteFile('C:\WINDOWS\pebgkxwq.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Спасибо большое! Всё в порядке, вроде бы. Карантин прислал.
Кажется, рано обрдовался. NOD обнаружил C:\WINDOWS\system32\drivers\Winai10.sys Wigon Trojan,
C:\Temp\BN1.tmp,
C:\Temp\avz_1008_raw.tmp.
Посмотрите, пожалуйста, ещё раз логи.
Пояните по поводу C:\WINDOWS\System32\Drivers\Winai10.sys - force delete с помощью Ice Sword. Нужно было удалить этот процесс? Не нашёл тогда его в списках.
Выполните без промежуточных перезагрузок:
1. Запустите Ice Sword, нажмите слева внизу File, найдите файлы:
C:\WINDOWS\system32\Drivers\Winai10.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
нажмите каждый правой кнопкой и выберите Force Delete.
2. Пофиксите в HijackThis:
3. Выполните скрипт в AVZ:Код:O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: (no name) - {15358F0E-4F20-43EE-83F1-3256F23396C6} - C:\WINDOWS\system32\khfCUoMF.dll (file missing) O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing) O4 - HKLM\..\Run: [d4cba069] rundll32.exe "C:\WINDOWS\system32\gewnpuvt.dll",b O4 - HKCU\..\Run: [RavAV] "C:\Documents and Settings\Амиго\Главное меню\Программы\Автозагрузка\RavMonE.exe" O20 - Winlogon Notify: mlJbXqrO - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\rorrqhdp.dll',''); QuarantineFile('C:\WINDOWS\system32\gewnpuvt.dll',''); DeleteFile('C:\WINDOWS\system32\gewnpuvt.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winai10.sys'); DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll'); DeleteFile('C:\WINDOWS\system32\rorrqhdp.dll'); BC_ImportALL; BC_DeleteSvc('Winai10'); BC_DeleteSvc('seclogonhelpsvcdmadmin'); BC_DeleteSvc('helpsvcdmadminCOMSysApp'); BC_DeleteSvc('helpsvcdmadmin'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Спасибо! После проделанных операций просканил систему, вирусов не нашлось. Карантин высал
пофиксите ...
выполните скрипт ...Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('BITSWebClient'); DeleteFile('WinCtrl32.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил. А что означали эти действия?
в логах ничего плохого ...
какие- то проблемы остались ?
Да нет, всё в порядке. Огромное вам спасибо!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\pebgkxwq.exe - Trojan.Win32.Vapsup.gpr (DrWEB: Trojan.Popuper.10959)
- c:\\windows\\system32\\gewnpuvt.dll - not-a-virus:AdWare.Win32.Virtumonde.yry (DrWEB: Trojan.Virtumod.based.17)
- c:\\windows\\system32\\mljbxqro.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.17)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agh (DrWEB: Trojan.DownLoader.63553)
- c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.grh
Уважаемый(ая) Amigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.