Junior Member
Вес репутации
57
Wigon CK Trojan + your computer is infected
Wigon CK Trojan + your computer is infected
Здесь уже такое было.
Здравствуйте! Проблема в следующем: NOD32 обнаруживает сабж.
+ в дополнение к этому, в трее висит красный крестик, который пишет, что "Your computer is infected". Крестик исчезает, если завершить процесс braviax.exe. При этом, если удалить файл braviax.exe, то после перезагрузки он снова появится.
Заранее благодарен.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\виталий\local settings\temp\~vis0000\fsg_4104.exe','');
QuarantineFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\loader.exe','');
DeleteService('Winvq25');
DeleteService('Winvc33');
DeleteService('Winuc67');
DeleteService('Winti64');
DeleteService('Winsm13');
DeleteService('Winsg40');
DeleteService('Winrr21');
DeleteService('Winrb44');
DeleteService('Winqd36');
DeleteService('Winok15');
DeleteService('Winmi71');
DeleteService('Winmg18');
DeleteService('Winmb35');
DeleteService('Winkj06');
DeleteService('Winia16');
DeleteService('Winhs03');
DeleteService('Wingr15');
DeleteService('Winga04');
DeleteService('Winfq88');
DeleteService('Winfa18');
DeleteService('Winey72');
DeleteService('Windp84');
DeleteService('Winca24');
DeleteService('Winbx88');
DeleteService('Winbc64');
DeleteService('Winbb45');
DeleteService('Winah16');
DeleteService('Winly02');
DeleteService('xmlprovclr_optimization_v2.0.50727_32');
DeleteService('WMPNetworkSvcNlaSENS');
DeleteService('WMPNetworkSvcNla');
DeleteService('VSSappdrvrem01');
DeleteService('UPSTrkWks');
DeleteService('SSDPSRVstisvcWudfSvc');
DeleteService('SSDPSRVstisvc');
DeleteService('SQLAgent$SONY_MEDIAMGRClipSrv');
DeleteService('Spoolerwscsvc');
DeleteService('rpcapdVSSappdrvrem01');
DeleteService('RDSessMgrxmlprovclr_optimization_v2.0.50727_32');
DeleteService('ProtectedStorageSpooler');
DeleteService('PlugPlayHTTPFilterNtLmSsp');
DeleteService('PlugPlayHTTPFilter');
DeleteService('NtLmSspAlerter');
DeleteService('MSSQLServerADHelperVSSappdrvrem01');
DeleteService('MSDTCPnkBstrA');
DeleteService('mnmsrvcwscsvc');
DeleteService('MessengerRpcSs');
DeleteService('lanmanserverMDM');
DeleteService('IrmonNetDDEdsdm');
DeleteService('idsvcTapiSrv');
DeleteService('DnscacheIrmonNetDDEdsdm');
DeleteService('aspnet_stateNetTcpPortSharing');
DeleteService('appdrvrem01BITS');
DeleteService('Alerterdmadmin');
DeleteService('sfrem01 HotKey Poller');
QuarantineFile('srv.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winly02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbb45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbc64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbx88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winca24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windp84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winey72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfa18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfq88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winga04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingr15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhs03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winia16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkj06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmb35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmg18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmi71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winok15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqd36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrb44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrr21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsg40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsm13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winti64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintn23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvq25.sys');
DeleteFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\documents and settings\виталий\local settings\temp\~vis0000\fsg_4104.exe');
DeleteFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
57
Спасибо! Кажется, все нормально.
добавить файлы из карантина не смог, пишут, чтобы записал ссылку на тему (я её конечно записываю, но бесполезно)
Вложения
Последний раз редактировалось doof; 09.09.2008 в 21:45 .
Причина: так вот
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DeleteService('Winyp28');
DeleteService('Winxn04');
DeleteService('Winss60');
DeleteService('Winpo00');
DeleteService('Winnu86');
DeleteService('Winnn04');
DeleteService('Winhj87');
DeleteService('Wincs40');
DeleteService('Winbh27');
DeleteService('Winah36');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincs40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhj87.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnn04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpo00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winss60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxn04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyp28.sys');
DeleteFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
57
Вложения
выполните скрипт ...
Код:
begin
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\ВИТАЛИЙ\LOCALS~1\Temp\musbehco.sys','');
BC_DeleteSvc('AtiRSVP');
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
Junior Member
Вес репутации
57
Огромное человеческое спасибо! Карантин слил.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 12 В ходе лечения вредоносные программы в карантинах не обнаружены