WinNT32.Dll (Wigon)

**akoK** · 24 июля, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('CcEvtSvc', 4);SetServiceStart('Ipcr58', 4);QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\Ipcr58.sys','');DeleteFile('C:\WINDOWS\system32\Drivers\Ipcr58.sys');DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');DeleteService('CcEvtSvc');DeleteService('Ipcr58');DeleteService('FCI');DelBHO('{9A356C5A-C9E3-4A68-9DFF-1A9B76683984}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Обновите базы AVZ и повторите логи.

**ZEF** · 25 июля, 2008

Спасибо за ответ. Обязательно выполню все рекомендации.

Есть еще хвосты вот таких зверей:

Glq*.sys

WinCtrl32.dll

В логи AVZ они судя по всему не попали.

Признаюсь в собственной глупости - до того как обратится к Вам выполнял чужие скрипты.

И еще вопросик: есть ли способ обнаружения mass-mailer? IP нашей сетки уже дважды был блокирован на http://cbl.abuseat.org. Сложность в следующем парк порядка 50машин. Все получают мыло через MS Exchange 2003 на котором стоит Symantec Mail Security. На всех машинах NOD32 v3. Из них 25 имеют доступ в Инет. + еше 5-7 машин не в моей сетке (раздаем немного инета арендаторам). И как в таком бардаке выловить масс-мейлер не бегая по всем тачкам? Подскажите пожалуйста. :1eye:

**akoK** · 25 июля, 2008

Обновите базы AVZ и повторите логи.

Выполните, в базы AVZ постоянно добавляются механизмы обнаружения зловредов....как и возможности их удалить.

**ZEF** · 25 июля, 2008

Новые логи

**akoK** · 25 июля, 2008

ZEF: большая просьба....одна машина одна тема....иначе очень тяжело ориентироваться.

i

Уведомление:

Темы разделил

Зачем Вам активный Icesword?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');BC_Activate;BC_DeleteSvc('FCI');BC_DeleteSvcReg('FCI');ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Повторите лог virusinfo_syscheck и HJT

P>S> Не забывайте отключить НОД перед выполнением скрипта.

Первый карантин пришел пустой...жду второй.

И еще вопросик: есть ли способ обнаружения mass-mailer? IP нашей сетки уже дважды был блокирован на http://cbl.abuseat.org. Сложность в следующем парк порядка 50машин. Все получают мыло через MS Exchange 2003 на котором стоит Symantec Mail Security. На всех машинах NOD32 v3. Из них 25 имеют доступ в Инет. + еше 5-7 машин не в моей сетке (раздаем немного инета арендаторам). И как в таком бардаке выловить масс-мейлер не бегая по всем тачкам? Подскажите пожалуйста.

Можно поставить прокси и логировать все движения....не только почты но и юзеров.

**ZEF** · 25 июля, 2008

Новые логи

Карантин отправил но он 12Мб. Если нужно будет побью на какие скажете размеры.