-
Junior Member
- Вес репутации
- 0
WinNt32.dll и WinNt64.dll
Эти файлы существуют в системной папке Нод их не обнаруживает подозрительными в том числе и АВЗ с ними ниче не делает но я знаю что они трои ( При проверке на kaspersky.ru обнаружено Win32/Trojan-Downloader.mutant.).Систему так и не удается очистить от Wigona всегда появляются какие то файлы в драйверной папке - как их не удалить на следующий день они опять появляются имена только могут быть разные чуть чуть
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 0
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
Читаем тут, ищем и удаляем через force delete
Код:
C:\WINDOWS\system32\WinNt64.dll
C:\WINDOWS\System32\drivers\Bgk15.sys
C:\WINDOWS\System32\Drivers\Hmq15.sys
C:\WINDOWS\System32\Drivers\Inr83.sys
C:\WINDOWS\System32\Drivers\Jos04.sys
C:\WINDOWS\System32\Drivers\Mrv04.sys
C:\WINDOWS\System32\Drivers\Nrv50.sys
C:\WINDOWS\System32\Drivers\Otx83.sys
C:\WINDOWS\System32\Drivers\Rva50.sys
C:\WINDOWS\System32\Drivers\Swb61.sys
C:\WINDOWS\System32\Drivers\Sxc61.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Xdi61.sys
C:\WINDOWS\System32\Drivers\Ydh04.sys
Пофиксите
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\6.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\6.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: (no name) - {D3626E66-B13B-C628-ACDF-BDABCFA265E1} - C:\Program Files\Common Files\Relive.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRYYYYYYYYMD
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ydh04');
DeleteService('Xdi61');
DeleteService('tcpsr');
DeleteService('Sxc61');
DeleteService('Swb61');
DeleteService('Rva50');
DeleteService('Otx83');
DeleteService('Nrv50');
DeleteService('Mrv04');
DeleteService('Jos04');
DeleteService('Inr83');
DeleteService('Hmq15');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll','');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{D3626E66-B13B-C628-ACDF-BDABCFA265E1}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ydh04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xdi61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Swb61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rva50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Otx83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Inr83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq15.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bgk15.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Bgk15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Inr83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Otx83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rva50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Swb61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxc61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ydh04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdi61.sys');
DeleteFile('WinNt64.dll');
DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\6.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После ребута закачайте карантин и повторите логи.
-
-
Junior Member
- Вес репутации
- 0
этих файлов уже нет, Нод их успел удалить...
Добавлено через 31 секунду
C:\WINDOWS\system32\WinNt64.dll только этого не удалил
Последний раз редактировалось Sharky1984; 23.06.2008 в 15:43.
Причина: Добавлено
-
нод это удалить не может по определению .... удалялка не выросла
C:\WINDOWS\system32\WinNt64.dll - это он может удалить , но останется тот кто создает эту библитеку и она появится заново ...
выполняйте указания ...
-
-
Junior Member
- Вес репутации
- 0
C:\WINDOWS\system32\WinNt32.dll и этого тоже
Добавлено через 38 секунд
окей спасибо
Добавлено через 4 минуты
Файл сохранён как 080623_064953_virus_485f8de1c2a93.zip
Размер файла 24580
MD5 94093b77800cb6c9777b789d198b4af2
Последний раз редактировалось Sharky1984; 23.06.2008 в 15:50.
Причина: Добавлено
-
Логи ждем-с
-
-
Junior Member
- Вес репутации
- 0
АВЗ выдает ошибку при сканировании типа Отправить отчет - Не отправлять попробую снова
-
стандартный скрипт 2 должен получиться ...
-
-
Junior Member
- Вес репутации
- 0
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
Junior Member
- Вес репутации
- 0
-
в логах ничего зловредного ....
-
-
Junior Member
- Вес репутации
- 0
все нормально спасибо за внимание и за оказанную помощь