Вирус Wigon. Вопрос - каким образом защититься от заражения других компов, если антивирус не помогает?
Вирус Wigon. Вопрос - каким образом защититься от заражения других компов, если антивирус не помогает?
Последний раз редактировалось fanmas; 06.10.2009 в 08:56.
Менять а/вирус на другой, который умеет удалять данную гадость.
Возможно, надо просто обновить версию а/вируса.
Скрипт сейчас будет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('WinNt64.dll',''); DeleteService('Udk87'); DeleteService('Udk42'); DeleteService('Udk07'); DeleteService('Tcj86'); DeleteService('Lta75'); DeleteService('Ksy42'); DeleteService('Ksa86'); DeleteService('Ksa07'); DeleteService('Iqx20'); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys',''); DeleteService('Gnu20'); QuarantineFile('C:\WINDOWS\system32\WinNt64.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt64.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Iqx20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksa07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksa86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksy42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lta75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tcj86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk87.sys'); DeleteFile('WinNt64.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25697
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Сделайте логи снова.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll
The worst foe lies within the self...
Выполнить скрипт:
Загрузить карантин. сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteService('Udk87'); DeleteService('Udk42'); DeleteService('Udk07'); DeleteService('Tcj86'); DeleteService('Lta75'); DeleteService('Ksy42'); DeleteService('Ksa86'); DeleteService('Ksa07'); DeleteService('Iqx20'); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu20.sys',''); DeleteService('Gnu20'); QuarantineFile('C:\WINDOWS\System32\Drivers\dump_m5287.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt64.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt64.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnu20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Iqx20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksa07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksa86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ksy42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lta75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tcj86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk87.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
возможно, Ваши пароли ушли на сторону. Их надо будет менять.
Ядро Нода от 2005 года, скорее всего Ваша версия безнадежно устарела.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Незнаю какой антивирус. Мне НОД32 нравится, но он пока не справляется с этим вирусом, даже 3 версия. А базы всегда свежие.
Сделал по пунктам ПавелА активность не остановилась. Вот новые логи.
Последний раз редактировалось fanmas; 06.10.2009 в 08:56.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\dump_diskdump.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\dump_m5287.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\diskdump.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\m5287.sys',''); QuarantineFile('D:\Drivers\Chipset\ATI\bin\atiicdxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys'); DeleteFile('WinNt64.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25697
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O20 - Winlogon Notify: WinNt32 - WinNt64.dll (file missing)
The worst foe lies within the self...
Продела все пункты. Карантин отослал. Изменений к сожалению никаких. Траффик продолжает идти.
Нужны новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Новые логи.
Последний раз редактировалось fanmas; 06.10.2009 в 08:56.
скачать IceSword, в нем сделать force delete:
'C:\WINDOWS\system32\Drivers\Qyf07.sys'
Выполнить:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Qyf07', 4); DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Qyf07.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде все отлично. Завтра посмотрю по загрузке с инета. Логи выслать?
Угу
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aff (DrWEB: Trojan.DownLoader.63559)
Уважаемый(ая) fanmas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.