Показано с 1 по 11 из 11.

пропал Dektop, иконки, старт меню. троян Win32/Wigon.CK и другие (заявка № 25194)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35

    Exclamation пропал Dektop, иконки, старт меню. троян Win32/Wigon.CK и другие

    Здравстуйте!
    Вот уже несколько дней безуспешно борюсь с пропажей Dektop'а,иконок и старт меню. NOD32 нашел троян Win32/Wigon.CK в C:\System Volume Information\_restore и кое-какие адвары.
    После этого AVZ еще находил "подозрение на Backdoor.Win32.Peanut.c" , "Подозрение на Keylogger или троянскую DLL". Symantec online scan нашел Trojan.pandex.
    Все было удалено, но Dektop'а,иконок все равно нет.
    Посмотрите, пожалуйста, логи! Не хотелось бы форматировать диск..
    Последний раз редактировалось xxxp; 12.09.2008 в 17:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winxf41.sys
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
     DelBHO('{CAE49279-0869-477C-9B89-AD5E060EF55C}');
     QuarantineFile('C:\WINDOWS\system32\womwfysw.dll','');
     QuarantineFile('C:\WINDOWS\system32\tdlpqciw.dll','');
     QuarantineFile('C:\WINDOWS\system32\otpnipng.dll','');
     QuarantineFile('C:\WINDOWS\system32\loader.exe','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\bxniclyl.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
     StopService('Winxf41');
     DeleteService('Winxf41');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winxf41.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\geBrqrSJ.dll','');
     QuarantineFile('C:\WINDOWS\system32\nnnoLBqO.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winxf41.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\otpnipng.dll');
     DeleteFile('C:\WINDOWS\system32\tdlpqciw.dll');
     DeleteFile('C:\WINDOWS\system32\womwfysw.dll');
     DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
     DeleteFile('C:\WINDOWS\system32\bxniclyl.dll');
     DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25194
    ________________

    После всего этого повторите логи.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Kuzz, спасибо за быстрый ответ!
    IceSword недоступен по той ссылке, которую Вы предоставили! Укажите, пожалуйста, другое безопасное место, откуда можно скачать эту программу.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Kuzz, большое Вам спасибо, появился Desktop, иконки и старт меню. Как Вас отблагодарить?

    Карантин отправил, сейчас сканю AVZ'ом.

  7. #6
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Вот.
    Последний раз редактировалось xxxp; 12.09.2008 в 17:41.

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Ребята, я смотрю у вас полный аншлаг. Не забудьте про меня!

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Бывает и "полный аншлаг"..

    Так вроде все чисто, но остались хвосты, которые лучше удалить:

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     DelBHO('{C108AE59-C97F-4517-8B74-5590BE3C2A82}');
     DelBHO('{051C7A7C-810F-4DC7-A981-D56F519AF3F5}');
     DeleteFile('WgaLogon.dll');
     DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
     DeleteFile('C:\WINDOWS\system32\geBrqrSJ.dll');
    ExecuteSysClean;
    end.
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O2 - BHO: (no name) - {051C7A7C-810F-4DC7-A981-D56F519AF3F5} - C:\WINDOWS\system32\nnnoLBqO.dll (file missing)
    O2 - BHO: (no name) - {C108AE59-C97F-4517-8B74-5590BE3C2A82} - C:\WINDOWS\system32\geBrqrSJ.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - Winlogon Notify: geBrqrSJ - geBrqrSJ.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

    Эти настройки Вам известны?
    Если нет - тоже фиксить.
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tsr.lv:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lv
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5795BCFC-28B1-46FC-BB5E-E503F73342C4}: NameServer = 81.198.60.10,195.13.160.52
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF4A96B-50D6-4571-B6CD-24069C3DFEA4}: NameServer = 159.148.60.20,195.2.96.2
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была. Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от xxxp Посмотреть сообщение
    Спасибо Вам за помощь, кажется, все в порядке. Последний вопрос - какой антивирус лучше поставить? Эти трояны проникли при NOD32, правда версия не самая последняя была.
    Обновлять антивирус обязательно надо. Новые модификации встречаются каждый день.
    Цитата Сообщение от xxxp Посмотреть сообщение
    Походы по форумам ничего не дали, каждый хвалит свой антивирус. Но какой все-таки лучше?
    Вы хотите услышать что мы хвалим?

    Лучший метод выбора - практика и собственное мнение.
    Попробуйте, какой вам подойдет.

    Еще рекомендуется к прочтению http://security-advisory.virusinfo.info/

    Добавлено через 6 минут

    В этой ветке обсуждается много антивирусов. Почитайте, присмотритесь.
    Последний раз редактировалось Kuzz; 25.06.2008 в 19:09. Причина: Добавлено
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    35
    Ого, спасибо, ценная информация.
    Ушел читать.

  • Уважаемый(ая) xxxp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 30.07.2010, 09:09
    2. Ответов: 2
      Последнее сообщение: 10.12.2009, 14:41
    3. Win32/Wigon.DK,CK и другие
      От demonbane в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:55
    4. Win32/Wigon.CK троян
      От DoctorK в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:35
    5. Пропал рабочий стол и иконки
      От ЕвгениЯ18 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.11.2006, 17:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00813 seconds with 16 queries