подцепил wigon.BE после подцепа win32/statik, помогите.
вот что щас у меня нашел нод но не удаляет...
запустил доктора веба как в инструкции нашел еще и win32/rootKit.trojan
и какуюто его модификацию, пишет что удалено, но видно что winlogon долбится наружу по адресам:
из аутпоста, с ним щас и живу блокировал внешку - но макстон открыт чтоб в инет лазить.
WINLOGON.EXE TCP локальное:любое
локал порт-2401
IP 208.66.194.232
удал порт 80
Блокировать действия приложения WINLOGON.EXE ИСХ БЛОКИРОВАНО
то что выдавал нод32
Е:\WINDOWS\system32\drivers\Eim83.sys модифицированный Win32/Wigon троян
E:\WINDOWS\TEMP\BN10F0.tmp модифицированный Win32/Wigon троян
E:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY троян
E:\WINDOWS\System32\svchost.exe
http://
u.axa-axa.cn/
up/
l/
0/
22bbab48ddf0b0ef3419dd7d3e3b3208
вероятно модифицированный Win32/Statik приложение
со статика началось все, а еще началось все на самом деле с игрушки алавар качнул я значит поиграться в триалверсию... и на тебе нод рыпнулся "Множественный доступ"
при попытке лечения в AVZ с галкой напротив рут кита в логах пишет что много чего заблокировано но работа антируткита неудачно завершена.
собственно щас по инструкции просканирую еще разок и кину логи... в течении часа... а то за время тестов сам понаделал ерунды походу
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
извиняюсь за расторопность вобщем установил новую винду...
включил AVZ подрубил зараженный винт и вручную убил Eim83.sys shift+del
занимаюсь творчеством поэтому иногда нервничаю - работа встала решаю любыми способами...
за скрипт спасибо на будущее.
я службу не догадывался вырубить!
а программа AVZ за последние 2 дня стала мне незаменимым помошником - молодцы создатели!
единственное чего она не делает это не чистит реестр от имеджей вот эту функцию включитьбы туды... былоб незаменимо...
а так ручками ручками...
СПАСИБО!
п.с.
Еслиб небыло у меня 4-х хардов со свободным местом на одном то реал дождался бы ответа...
просто реал спать охота и диплом распечатывать... по сути у меня диплом повис в воздухе...
Добавлено через 9 минут
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 80882B80
KiST = 8080BD20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
Карантин с использованием прямого чтения - ошибка
Удаление файла:%systemroot%\System32\Drivers\Eim83.sys
>>>Для удаления файла %systemroot%\System32\Drivers\Eim83.sys необходима перезагрузка
Удаление файла:%systemroot%\System32\Drivers\Uae15.sys
>>>Для удаления файла %systemroot%\System32\Drivers\Uae15.sys необходима перезагрузка
Удаление файла:%systemroot%\System32\drivers\tcpsr.sys
>>>Для удаления файла %systemroot%\System32\drivers\tcpsr.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удалена служба/драйвер Eim83
вот последнее осталось на компе из-за нее реестр не чистился...
спасибо еще раз
Последний раз редактировалось photocanon; 14.06.2008 в 02:29.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: