-
Junior Member
- Вес репутации
- 58
Вирус wigon.ck Nod32 не может удалить
В определенное время начинается спам рассылка. При проверке Nod32 обнаруживает и вроде удаляет вирусы win32/wigon.dy, win32/wigon.dj. После перезагрузки Nod32 блокирует файл win*.sys как вирус Wigon.ck. И так до безконечности.
Проверял Drweb Cureit в "безопаске" вроде все удалил, стоит подключить инет и опять Nod32 блокирует файл win*.sys как вирус Wigon.ck.
Можно ли от него избавиться подключив жесткий диск к компьютеру на котором стоит Касперский. Я так понимаю он загружает себя из инета?
Последний раз редактировалось Lancelotru; 03.09.2008 в 10:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\systt32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\systt32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winxb03.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsw82.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsv14.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winru58.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winos03.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winor82.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winlp36.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winko36.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winim13.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wingj60.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincg58.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincg36.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincf60.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbf24.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbe82.sys');
DeleteFile('C:\WINDOWS\system32\systt32.dll');
BC_DeleteFile('C:\WINDOWS\system32\systt32.dll');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
DeleteService('Winxb03');
DeleteService('Winsw82');
DeleteService('Winsv14');
DeleteService('Winru58');
DeleteService('Winos03');
DeleteService('Winor82');
DeleteService('Winlp36');
DeleteService('Winko36');
DeleteService('Winim13');
DeleteService('Wingj60');
DeleteService('Winfj58');
DeleteService('Wincg58');
DeleteService('Wincg36');
DeleteService('Wincf60');
DeleteService('Winbf24');
DeleteService('Winbe82');
DeleteService('WZCSVCWmiwuauserv');
DeleteService('wuauservTrkWks');
DeleteService('Wmiwuauserv');
DeleteService('W32TimeEventlog');
DeleteService('TlntSvrRDSessMgr');
DeleteService('Themesxmlprov');
DeleteService('stisvcClipSrv');
DeleteService('SpoolerHidServ');
DeleteService('ShellHWDetectionmnmsrvc');
DeleteService('seclogonNetman');
DeleteService('ProtectedStorageNtLmSsp');
DeleteService('NlaCOMSysApp');
DeleteService('NetmanSENS');
DeleteService('NetmandmserverDhcp');
DeleteService('NetlogonSwPrv');
DeleteService('MSDTCNetDDE');
DeleteService('MessengerSamSsNetlogonSwPrv');
DeleteService('MessengerSamSs');
DeleteService('lanmanworkstationHTTPFilter');
DeleteService('HTTPFilterHTTPFilter');
DeleteService('dmserverDhcp');
DeleteService('DhcpClipSrv');
DeleteService('DcomLaunchDhcp');
DeleteService('ClipSrvTlntSvr');
DeleteService('ClipSrvNetman');
DeleteService('BITSseclogon');
DeleteService('AppMgmtdmserver');
BC_DeleteSvc('Winxb03');
BC_DeleteSvc('Winsw82');
BC_DeleteSvc('Winsv14');
BC_DeleteSvc('Winru58');
BC_DeleteSvc('Winos03');
BC_DeleteSvc('Winor82');
BC_DeleteSvc('Winlp36');
BC_DeleteSvc('Winko36');
BC_DeleteSvc('Winim13');
BC_DeleteSvc('Wingj60');
BC_DeleteSvc('Winfj58');
BC_DeleteSvc('Wincg58');
BC_DeleteSvc('Wincg36');
BC_DeleteSvc('Wincf60');
BC_DeleteSvc('Winbf24');
BC_DeleteSvc('Winbe82');
BC_DeleteSvc('WZCSVCWmiwuauserv');
BC_DeleteSvc('wuauservTrkWks');
BC_DeleteSvc('Wmiwuauserv');
BC_DeleteSvc('W32TimeEventlog');
BC_DeleteSvc('TlntSvrRDSessMgr');
BC_DeleteSvc('Themesxmlprov');
BC_DeleteSvc('stisvcClipSrv');
BC_DeleteSvc('SpoolerHidServ');
BC_DeleteSvc('ShellHWDetectionmnmsrvc');
BC_DeleteSvc('seclogonNetman');
BC_DeleteSvc('ProtectedStorageNtLmSsp');
BC_DeleteSvc('NlaCOMSysApp');
BC_DeleteSvc('NetmanSENS');
BC_DeleteSvc('NetmandmserverDhcp');
BC_DeleteSvc('NetlogonSwPrv');
BC_DeleteSvc('MSDTCNetDDE');
BC_DeleteSvc('MessengerSamSsNetlogonSwPrv');
BC_DeleteSvc('MessengerSamSs');
BC_DeleteSvc('lanmanworkstationHTTPFilter');
BC_DeleteSvc('HTTPFilterHTTPFilter');
BC_DeleteSvc('dmserverDhcp');
BC_DeleteSvc('DhcpClipSrv');
BC_DeleteSvc('DcomLaunchDhcp');
BC_DeleteSvc('ClipSrvTlntSvr');
BC_DeleteSvc('ClipSrvNetman');
BC_DeleteSvc('BITSseclogon');
BC_DeleteSvc('AppMgmtdmserver');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28703 , как написано в прил.3 правил, и сделайте новые логи, начиная с п. 10 правил.
Последний раз редактировалось Numb; 22.08.2008 в 13:47.
Причина: поправил скрипт
-
-
Junior Member
- Вес репутации
- 58
Все сделал как было указано, вот логи, карантин загрузил.
У меня вопросы: Через флешку эта мерзость передается?
Ловит ли ее Касперский?
Последний раз редактировалось Lancelotru; 03.09.2008 в 10:57.
-
Пофиксите в HijackThis следующую строчку ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Повторите логи: virusinfo_syscheck.zip и hijackthis.log
-
Junior Member
- Вес репутации
- 58
Пофиксил. Подключил сеть, NOD32 молчит. Буду проверять.
Последний раз редактировалось Lancelotru; 03.09.2008 в 10:57.
-
-
-
Junior Member
- Вес репутации
- 58
Всем спасибо! Если что буду обращаться.