Помогите троян Win32/Wigon.CK

**Скандал** · 08.07.2008, 07:10

Помогите пожалуйста при загрузки Windowsa Xp NOD32 выдает собщение что обнаружен троян Win32/Wigon.CK в файле c:\windows\System32\drivers\Winoi46.sys в коментарии пишет создано приложение c:\windows\temp\bn2a.tmp и перемещяет в карантин, система тормозит, при загрузке системы постоянно заражены разные файлы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 08.07.2008, 09:27

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 BC_DeleteSvc('Winwj12');
 BC_DeleteSvc('Winym34');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winym34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyl02.sys','');
 BC_DeleteSvc('Winyl02');
 BC_DeleteSvc('Winxv78');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxv78.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy67.sys','');
 BC_DeleteSvc('Winuy67');
 BC_DeleteSvc('Winso34');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winso34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsg44.sys','');
 BC_DeleteSvc('Winsg44');
 BC_DeleteSvc('Winrm11');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrm11.sys','');
 BC_DeleteSvc('Wingc57');
 BC_DeleteSvc('Winfr88');
 BC_DeleteSvc('Winfb70');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfr88.sys','');
 BC_DeleteSvc('Winam44');
 BC_DeleteSvc('TrkWksose');
 BC_DeleteSvc('seclogonWebClient');
 BC_DeleteSvc('RDSessMgrRemoteAccess');
 BC_DeleteSvc('oseVSS');
 BC_DeleteSvc('NlaImapiService');
// QuarantineFile('р%Ђ|x srv','');
 BC_DeleteSvc('EventlogSCardSvr');
 BC_DeleteSvc('EventlogMSDTC');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winam44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfb70.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfr88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingc57.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrm11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsg44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winso34.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuy67.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxv78.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyl02.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winym34.sys');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

**Скандал** · 08.07.2008, 11:58

Пишет Ошибка скрипта: ')' expected, позиция [30:17]

**PavelA** · 08.07.2008, 13:09

Поправил скрипт.

**Скандал** · 08.07.2008, 13:46

Высылаю карантин и логи

**Скандал** · 08.07.2008, 13:48

При перезагрузки системы антивирус NOD32 молчал

**Гриша** · 08.07.2008, 13:57

А где логи AVZ?

**Скандал** · 08.07.2008, 13:59

ща

**Скандал** · 08.07.2008, 15:10

Высылаю логи

**V_Bond** · 08.07.2008, 15:19

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa67.sys','');
 BC_DeleteSvc('Winwa67');
 BC_DeleteSvc('Winuy64');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy64.sys','');
 BC_DeleteSvc('WmdmPmSNPolicyAgent');
 BC_DeleteSvc('RDSessMgrProtectedStorage');
 BC_DeleteSvc('CryptSvcAlerter');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuy64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwa67.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

**Скандал** · 08.07.2008, 15:27

Ошибка скрипта: ')' expected, позиция [8:17]

**V_Bond** · 08.07.2008, 15:30

поправил ....

**Скандал** · 08.07.2008, 15:31

То же самое

**V_Bond** · 08.07.2008, 15:32

скрипт правильный ....

**Скандал** · 08.07.2008, 15:37

Когда я в avz выполнял скрипт, что бы логи создал, он у меня проверил только диск c:

Добавлено через 2 минуты

Все пошло, идет перезагрузка

Добавлено через 1 минуту

Че то долго грузиться

**Скандал** · 09.07.2008, 07:19

Высылаю логи

**Гриша** · 09.07.2008, 08:09

Отключите восстановление системы,там хранятся копии зловредов.

Пофиксить

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

В логах чисто...

**Скандал** · 09.07.2008, 09:32

Все, сделал. Но комп тормозит.

**V_Bond** · 09.07.2008, 09:51

- проверте температуры (возможен перегрев)
- проверте режим работы винчестера
- удалите лишнее из автозагрузки

**Скандал** · 09.07.2008, 10:24

Это нормально, что на картинке?

Помогите троян Win32/Wigon.CK (заявка № 26077)

Опции темы

Помогите троян Win32/Wigon.CK

Похожие темы

Помогите вылез вирус Win32/Wigon троян

Помогите, подцепил Win32/Wigon.IH, Win32/Wigon.HZ, Win32/Wigon.IH, Win32/SpyDelf.NOL и т.д. [not-a-virus:Monitor.Win32.KGBSpy.cg, Trojan-Downloader.Win32.Agent.bbuv ]

помогите справиться!!! троян Win32/Wigon.FJ одолел

Помогите! Win32/Wigon.CK (троян)

Помогите, у меня троян win32/wigon.AB

Ваши права в разделе