Добрый день!
НОД при ребуте каждый раз находит 2 трояна Win32/Wigon и Wind32/Wigon.BY. Гады появлются постоянно
Прошу помощи квалифицированных специалистов
Добрый день!
НОД при ребуте каждый раз находит 2 трояна Win32/Wigon и Wind32/Wigon.BY. Гады появлются постоянно
Прошу помощи квалифицированных специалистов
c:\program files\active keyboard - сами ставили? Если нет - удалите как приложение.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните гден нибудь на диске, чтобы потом добавить в карантин.Код:C:\WINDOWS\System32\Drivers\ati8vgxx.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Schedule', 4); QuarantineFile('c:\program files\active keyboard\hotfiles.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xdn50.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); QuarantineFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe',''); DeleteService('Xdn50'); DeleteService('tcpsr'); DeleteService('ati8vgxx'); DeleteFile('C:\WINDOWS\System32\Drivers\Xdn50.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Xdn50'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('ati8vgxx'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
даc:\program files\active keyboard - сами ставили?
Вот новые логи
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys',''); DeleteService('ati8twxx'); DeleteService('ati6svxx'); DeleteService('ati6oyxx'); DeleteService('ati6gjxx'); DeleteService('ati5rcxx'); DeleteService('ati5hgxx'); DeleteService('ati3fwxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati8twxx'); BC_DeleteSvc('ati6svxx'); BC_DeleteSvc('ati6oyxx'); BC_DeleteSvc('ati6gjxx'); BC_DeleteSvc('ati5rcxx'); BC_DeleteSvc('ati5hgxx'); BC_DeleteSvc('ati3fwxx'); SetAVZPMStatus(True); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Карантин выслал.
А вот и новые логи....
svchost в нет больше не лезут, но по логам вроде не излечилось
Как я понял это dll от daemon'а. Если с ней проблем нет, то действительно все в порядке. СпасибоКод:Функция NtCreateKey (29) перехвачена (80622048->F74040B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (80622888->F740984E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F7409BEE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (806233DE->F7404090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (80623702->F7409CC6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (80620102->F7409B46), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80620708->F7409D58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Crypt.ua (DrWEB: BackDoor.Bulknet.237)
Уважаемый(ая) ac1ddd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.