-
Junior Member
- Вес репутации
- 58
Вирус Win32/Wigon и tcpsr.sys
Здравствуйте. Я столкнулся с вирусом Win32/Wigon и tcpsr.sys никак их не побежу. Поиском нашел ветку в вашем в форуме Win32/Wigon (http://virusinfo.info/showthread.php?t=16718) по tcpsr.sys (http://virusinfo.info/showthread.php?t=25191), но в виду не опытности инструкции мне не помогли (скорее всего, они индивидуальной направленности). Прошу вашего совета!!!
Последний раз редактировалось smeley; 10.08.2009 в 11:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\winnt32.dll
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Cjo06.sys
C:\WINDOWS\system32\Drivers\Vch52.sys
и сделайте им Force Delete.
3. Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O20 - Winlogon Notify: winnt32 - C:\WINDOWS\system32\winnt32.dll
4. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winnt32.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubh41.sys','');
DeleteService('Ubh41');
StopService('Ubh41');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iou38.sys','');
DeleteService('Iou38');
StopService('Iou38');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hns16.sys','');
DeleteService('Hns16');
StopService('Hns16');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dkp30.sys','');
DeleteService('Dkp30');
StopService('Dkp30');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cin63.sys','');
DeleteService('Cin63');
StopService('Cin63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cin28.sys','');
DeleteService('Cin28');
StopService('Cin28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agm27.sys','');
DeleteService('Agm27');
StopService('Agm27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vch52.sys','');
DeleteService('Vch52');
StopService('Vch52');
QuarantineFile('msupdate.sys','');
DeleteService('msupdate');
StopService('msupdate');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vch52.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Cjo06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akh3cdon.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Cjo06.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vch52.sys');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vch52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cin28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cin63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkp30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hns16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iou38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubh41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tcpsr.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinNt32.dll');
DeleteFile('c:\windows\system32\winnt32.dll');
DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25195
________________
После всего этого повторите логи.
Последний раз редактировалось Kuzz; 23.06.2008 в 21:51.
Причина: Внимание! Ссылка на IceSword122 исправлена.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Вирус Win32/Wigon и tcpsr.sys
Я извиняюсь, что не смог продолжить разговор вчера, выполнил все указанные процедуры.
Последний раз редактировалось smeley; 10.08.2009 в 11:49.
-
Карантин чистый.
Проверим еще одного:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
DeleteService('Msx62');
DeleteFile('C:\WINDOWS\System32\Drivers\Msx62.sys');
DeleteFile('C:\WINDOWS\system32\WinData.cab');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если попадет в карантин, то прислать. Сделать новые логи с п.10 Правил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
В карантине пусто. Прилагаю логи с пункта 10.
Последний раз редактировалось smeley; 10.08.2009 в 11:49.
-
Плохого в логах не наблюдаю.
В качестве профилактики можно почистить временные файлы интернета, папку карантина AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Спасибо. Я установил на компьютер Outpost Firewall (freeware версию)+nod32+AntiSpyware (Agava AntiSpy) надеюсь это меня спасет. Вам спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 38
- В ходе лечения вредоносные программы в карантинах не обнаружены
-