Junior Member
Вес репутации
58
Помогите троян Win32/Wigon.CK
Помогите пожалуйста при загрузки Windowsa Xp NOD32 выдает собщение что обнаружен троян Win32/Wigon.CK в файле c:\windows\System32\drivers\Winoi46.sys в коментарии пишет создано приложение c:\windows\temp\bn2a.tmp и перемещяет в карантин, система тормозит, при загрузке системы постоянно заражены разные файлы.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
BC_DeleteSvc('Winwj12');
BC_DeleteSvc('Winym34');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winym34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyl02.sys','');
BC_DeleteSvc('Winyl02');
BC_DeleteSvc('Winxv78');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxv78.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy67.sys','');
BC_DeleteSvc('Winuy67');
BC_DeleteSvc('Winso34');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winso34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsg44.sys','');
BC_DeleteSvc('Winsg44');
BC_DeleteSvc('Winrm11');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrm11.sys','');
BC_DeleteSvc('Wingc57');
BC_DeleteSvc('Winfr88');
BC_DeleteSvc('Winfb70');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfr88.sys','');
BC_DeleteSvc('Winam44');
BC_DeleteSvc('TrkWksose');
BC_DeleteSvc('seclogonWebClient');
BC_DeleteSvc('RDSessMgrRemoteAccess');
BC_DeleteSvc('oseVSS');
BC_DeleteSvc('NlaImapiService');
// QuarantineFile('р%Ђ|x srv','');
BC_DeleteSvc('EventlogSCardSvr');
BC_DeleteSvc('EventlogMSDTC');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winam44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfb70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfr88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingc57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrm11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsg44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winso34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxv78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyl02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winym34.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Последний раз редактировалось PavelA; 08.07.2008 в 13:08 .
Причина: Пусть пока без этого файла.
Junior Member
Вес репутации
58
Пишет Ошибка скрипта: ')' expected, позиция [30:17]
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Вложения
Последний раз редактировалось V_Bond; 08.07.2008 в 13:56 .
Причина: убран карантин
Junior Member
Вес репутации
58
При перезагрузки системы антивирус NOD32 молчал
Junior Member
Вес репутации
58
Junior Member
Вес репутации
58
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa67.sys','');
BC_DeleteSvc('Winwa67');
BC_DeleteSvc('Winuy64');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy64.sys','');
BC_DeleteSvc('WmdmPmSNPolicyAgent');
BC_DeleteSvc('RDSessMgrProtectedStorage');
BC_DeleteSvc('CryptSvcAlerter');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa67.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Последний раз редактировалось V_Bond; 08.07.2008 в 15:30 .
Junior Member
Вес репутации
58
Ошибка скрипта: ')' expected, позиция [8:17]
Junior Member
Вес репутации
58
Junior Member
Вес репутации
58
Когда я в avz выполнял скрипт, что бы логи создал, он у меня проверил только диск c:
Добавлено через 2 минуты
Все пошло, идет перезагрузка
Добавлено через 1 минуту
Че то долго грузиться
Последний раз редактировалось Скандал; 08.07.2008 в 15:37 .
Причина: Добавлено
Junior Member
Вес репутации
58
Вложения
Отключите восстановление системы,там хранятся копии зловредов.
Пофиксить
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
В логах чисто...
Junior Member
Вес репутации
58
Все, сделал. Но комп тормозит.
- проверте температуры (возможен перегрев)
- проверте режим работы винчестера
- удалите лишнее из автозагрузки
Junior Member
Вес репутации
58
Это нормально, что на картинке?
Изображения