-
Троян Win32/Wigon.AX: оживает при каждом подключении к Интернету
Всем доброго времени суток!
Форумчанок – с грядущим праздником!
Вчера, зайдя на страницу Интернет-магазина, торгующего товарами для хобби, был остановлен своим NOD 32 (версия 2.70). Он выловил троян и отправил в каранти. Подобные вещи случались и раньше, потому я не слишком обеспокоился, удалил незваного гостя и продолжал работать.
Когда после перерыва я вновь включил компьютер и вышел в Интернет, сразу же появилось сообщение о трояне Win32/Wigon.AX, "прописанном" по адресу: C:\Windows\Temp\BN2.temp. Далее сообщалось, что антивирусом перехвачен зараженный файл драйвера и этот файл помещен в карантин. Впоследствии файлы драйверов менялись, но адрес у них был всегда один: C:\Windows\System 32\drivers\*.sys.
Я несколько раз выключал и снова включал компьютер и каждый раз получал аналогичное уведомление. Проверки в помощью AVZ (я давно пользуюсь этой программой и очень благодарен ее разработчику г-ну Зайцеву) и скан с помощью антивируса ничего не показали. Поиск файла BN2.temp (через Проводник и AVZ) ничего не дал; такого файла попросту нет.
Я переустановил Windows (с сохранением настроек). Результата это не возымело. Тогда я понял, что своими силами мне с трояном не справиться.
Выполняя изложенные в Правилах рекомендации, я проверил систему Dr. Web'ом. Он выловил пару других троянов, но этот остался. Когда после выполнения скриптов я снова вышел в Интернет, то в очередной раз получил предупреждение. Только теперь имя у "невидимки" BN4.tmp, а паразитный драйвер именуется NSW15.sys.
Уточняю: сообщение антивируса появляется даже если не залезать в Интернет или почту. Стоит только подключить ADSL-соединение, как через секунд пятнадцать появляется красное окошко.
Спасибо всем, кто возьмется мне помогать.
Последний раз редактировалось Пришелец-13; 29.07.2008 в 13:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wbg05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tyd48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxc72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oty73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jot40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Afj26.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Afj26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkp62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jot40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpu05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oty73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxc72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tyd48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vbf61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wbg05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Wch05');
BC_DeleteSvc('Wbg05');
BC_DeleteSvc('Vbf61');
BC_DeleteSvc('Uaf05');
BC_DeleteSvc('Tyd48');
BC_DeleteSvc('Sxc72');
BC_DeleteSvc('Oty73');
BC_DeleteSvc('Mrv37');
BC_DeleteSvc('Kpu05');
BC_DeleteSvc('Jot40');
BC_DeleteSvc('Jos48');
BC_DeleteSvc('Fkp62');
BC_DeleteSvc('Afj26');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19331).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Добрый вечер, Bratez!
У нас в Питере еще день, полный мокрого снега и почти полного отсутствия мимоз (смерзла в Абхазии).
Спасибо Вам за быстрый отклик и действенные советы. После выполнения предложенного скрипта антивирус уже не выдавал красное окошко с предупреждением.
Отправляю все, что Вы просили.
Последний раз редактировалось Пришелец-13; 29.07.2008 в 13:24.
-
virus.zip уберите, это карантин! Я же дал ссылку для его загрузки.
В логах чисто.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
-
-
Рекомендуем работать на компьютере под ограниченным пользователем, пользоваться альтернативными браузерами (не IE). По моему лучше всего firefox+noscript
-