Win32/Wigon.DK,CK и другие

[demonbane]

Здрасти на рабочем компе существуют проблемы...
Нод при загрузке винды сообщает о вирусе в названии темы, помещает их в карантин, но при посл. загрузке выдает тоже самое (правда после скана авз, пока не выдавал такое)... сканил доктором вебом, нашел много дряни, но некоторые проблемы остались.
Сейчас в процессах висят кучу cmd.exe, services.exe... посмотрите логи, премного благодарен.

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\iexplorer.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winya30.sys','');
 BC_DeleteSvc('Winya30');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxu28.sys','');
 BC_DeleteSvc('Winxu28');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winva40.sys','');
 BC_DeleteSvc('Winva40');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc63.sys','');
 BC_DeleteSvc('Winuc63');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc20.sys','');
 BC_DeleteSvc('Winuc20');
 BC_DeleteSvc('Winrh06');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrh06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqq05.sys','');
 BC_DeleteSvc('Winqq05');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnx52.sys','');
 BC_DeleteSvc('Winnx52');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlf73.sys','');
 BC_DeleteSvc('Winlf73');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkx85.sys','');
 BC_DeleteSvc('Winkx85');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winko62.sys','');
 BC_DeleteSvc('Winko62');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winja84.sys','');
 BC_DeleteSvc('Winja84');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincv52.sys','');
 BC_DeleteSvc('Wincv52');
 BC_DeleteSvc('Ulx51');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ulx51.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
 BC_DeleteSvc('docker19');
 BC_DeleteSvc('WmdmPmSNAlerter');
 BC_DeleteSvc('seclogonRDSessMgr');
 BC_DeleteSvc('RSVPRpcSs');
 BC_DeleteSvc('RemoteAccessTrkWks');
 BC_DeleteSvc('NtmsSvcSysmonLog');
 BC_DeleteSvc('MessengerHidServ');
 BC_DeleteSvc('lanmanworkstationSchedule');
 BC_DeleteSvc('HidServWmdmPmSNAlerter');
 BC_DeleteSvc('COMSysAppAppMgmt');
 QuarantineFile('srv.exe','');
 QuarantineFile('c:\windows\msauc.exe','');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('c:\windows\msauc.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ulx51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincv52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winja84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winko62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkx85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnx52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqq05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrh06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc20.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winva40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxu28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winya30.sys');
 DeleteFile('C:\WINDOWS\iexplorer.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин соглсно приложения 3 правил ...
повторите логи ...

[demonbane]

Так стало лучше, но в карантин я вижу попало не все... там есть 2 карантина, за 08.06 и 08.05, я отправлял точ то попало за сегодня.
новые логи.

[V_Bond]

C:\WINDOWS\system32\userinit.exe - нужно заменить на чистый из дистрибутива или с другой системы ...
пофиксите ...

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\loader.exe','');
 DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[demonbane]

нужно заменить на чистый из дистрибутива или с другой системы ...

сори, но я забыл как это делается там вроде команда была на замену системных файлов или как?
Скрипт выполнил но в карантин лоадер не попал... логи сделаю попозже, как заменю узеринит.

[Rene-gad]

сори, но я забыл как это делается

Загрузиться с дистрибутива, давить при загрузке клавишу R, попадаете в консоль восстановления. userinit.exe комадой copy из папки C:\windows\servicepackfiles\i386 скопировать в c:\windows\system32\ . Можно приготовить userinit.exe с другой такой же системы на дискетте.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\system volume information\\_restore{0eeeeadb-6556-4ad3-93de-03d704d428a3}\\rp382\\a0097399.dll - Trojan-Downloader.Win32.Mutant.awf (DrWEB: Trojan.MulDrop.1827
  2. c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.oxl (DrWEB: Trojan.MulDrop.18267)
  3. c:\\windows\\msauc.exe - Trojan.Win32.Buzus.pni (DrWEB: Trojan.MulDrop.18267)
  4. c:\\windows\\services.exe - Trojan.Win32.Agent.xna (DrWEB: Trojan.Packed.573)
  5. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.jwi (DrWEB: Trojan.PWS.Lich)