Помогити! Меня атакует TrojanDownloader.Wigon.BS. Nod32 отражает и так несколько часов. Вылечить или убить нельзя, ведь когда комп подключьон к нету, атаки есть, отключаю - атак нет, глубокое сканирование ничего не видит.
Помогити! Меня атакует TrojanDownloader.Wigon.BS. Nod32 отражает и так несколько часов. Вылечить или убить нельзя, ведь когда комп подключьон к нету, атаки есть, отключаю - атак нет, глубокое сканирование ничего не видит.
Последний раз редактировалось Tinatin; 24.05.2009 в 22:30.
Помогите пожалуйста вылечиться
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('port135sik'); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\afd.dll',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); DeleteService('43CE4EF6D23A6078'); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('SCPDFReadSpool'); QuarantineFile('C:\WINDOWS\Installer\MSIB35.tmp',''); QuarantineFile('c:\documents and settings\admin\admin.exe',''); DeleteFile('c:\documents and settings\admin\admin.exe'); DeleteFile('C:\WINDOWS\Installer\MSIB35.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
повторные логи
Спасибо за помощь, вирус больше не дает о себе знать))))
Скачайте AVZ который у меня в подписи и далее работайте только с ним!
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\afd.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('43CE4EF6D23A6078'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('navigator'); BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
3. Повторите логи.
Последний раз редактировалось Aleksandra; 22.05.2009 в 13:29.
Сердце решает кого любить... Судьба решает с кем быть...
Выкладываю
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('43CE4EF6D23A6078'); BC_Activate; RebootWindows(true); end.
3. Повторите лог virusinfo_syscheck.
Добавлено через 2 минуты
Эти адреса Вам известны? Если нет, то пофиксите.O17 - HKLM\System\CCS\Services\Tcpip\..\{7C5A3EC2-B507-402A-9378-8BBDA6E0BB78}: NameServer = 192.168.1.1,195.5.46.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250
Последний раз редактировалось Aleksandra; 22.05.2009 в 22:46. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Лог. Сейчас буду фиксить
Пофиксила, как указанно при переходе по ссылке, предоставленной Вами, но мне выдало просто чистый белый лист. Не знаю, может я что-то не так сделала, так как делала это первый раз.
Добавлено через 45 минут
После перезагрузки, проделала процедуру еще раз. Был обноружен только O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250. Когда нажала "Fix Checked", появился опять белый лист. Каким должен быть результат, я не знаю.
Последний раз редактировалось Tinatin; 24.05.2009 в 23:11. Причина: Добавлено
сделайте полный комплект логов ...
логи
Ukrtelecom Kiev - ваш провайдер ?
Использую ОГО, в г.Луганск
Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
Gmer.log
Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.
Код:gmer.exe -del service 43CE4EF6D23A6078 gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Type" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Start" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ErrorControl" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ImagePath" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security@Security" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Type" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Start" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ErrorControl" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ImagePath" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security@Security" gmer -reboot
Сердце решает кого любить... Судьба решает с кем быть...
Извините, я понимаю, что задаю глупый вопрос, но подскажите пожалуйста, как это сделать. Спасибо!
То, что в рамочке - выделить мышью. Затем - Ctrl+C (скопировать в буфер).
Позвать Блокнот, в нём сделать Ctrl+V (вставить из буфера).
Затем, в Блокноте же - Ctrl+S (сохранить). Выберите каталог, где у вас лежит gmer.exe, имя файла укажите "start.bat" (обязательно с кавычками).
Закрываете Блокнот, идёте в каталог, куда сохранили файл, видите там командный файл MS-DOS с именем start. Запускаете его двумя щелчками мыши.
Огромное спасибо! Сейчас сделаю!
Последний раз редактировалось Tinatin; 28.05.2009 в 11:42. Причина: Добавлено
Уважаемый(ая) Tinatin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.