Троян Win32/Wigon.AX: оживает при каждом подключении к Интернету

[Пришелец-13]

Всем доброго времени суток!
Форумчанок – с грядущим праздником!

Вчера, зайдя на страницу Интернет-магазина, торгующего товарами для хобби, был остановлен своим NOD 32 (версия 2.70). Он выловил троян и отправил в каранти. Подобные вещи случались и раньше, потому я не слишком обеспокоился, удалил незваного гостя и продолжал работать.

Когда после перерыва я вновь включил компьютер и вышел в Интернет, сразу же появилось сообщение о трояне Win32/Wigon.AX, "прописанном" по адресу: C:\Windows\Temp\BN2.temp. Далее сообщалось, что антивирусом перехвачен зараженный файл драйвера и этот файл помещен в карантин. Впоследствии файлы драйверов менялись, но адрес у них был всегда один: C:\Windows\System 32\drivers\*.sys.

Я несколько раз выключал и снова включал компьютер и каждый раз получал аналогичное уведомление. Проверки в помощью AVZ (я давно пользуюсь этой программой и очень благодарен ее разработчику г-ну Зайцеву) и скан с помощью антивируса ничего не показали. Поиск файла BN2.temp (через Проводник и AVZ) ничего не дал; такого файла попросту нет.

Я переустановил Windows (с сохранением настроек). Результата это не возымело. Тогда я понял, что своими силами мне с трояном не справиться.

Выполняя изложенные в Правилах рекомендации, я проверил систему Dr. Web'ом. Он выловил пару других троянов, но этот остался. Когда после выполнения скриптов я снова вышел в Интернет, то в очередной раз получил предупреждение. Только теперь имя у "невидимки" BN4.tmp, а паразитный драйвер именуется NSW15.sys.

Уточняю: сообщение антивируса появляется даже если не залезать в Интернет или почту. Стоит только подключить ADSL-соединение, как через секунд пятнадцать появляется красное окошко.

Спасибо всем, кто возьмется мне помогать.

[Bratez]

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wbg05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf61.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tyd48.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sxc72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oty73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jot40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jos48.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Afj26.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Afj26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkp62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jos48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jot40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kpu05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Mrv37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oty73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sxc72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tyd48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaf05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vbf61.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wbg05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
BC_ImportDeletedList;
 BC_DeleteSvc('Wch05');
 BC_DeleteSvc('Wbg05');
 BC_DeleteSvc('Vbf61');
 BC_DeleteSvc('Uaf05');
 BC_DeleteSvc('Tyd48');
 BC_DeleteSvc('Sxc72');
 BC_DeleteSvc('Oty73');
 BC_DeleteSvc('Mrv37');
 BC_DeleteSvc('Kpu05');
 BC_DeleteSvc('Jot40');
 BC_DeleteSvc('Jos48');
 BC_DeleteSvc('Fkp62');
 BC_DeleteSvc('Afj26');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19331).
Сделайте новые логи, начиная с п.10 правил.

[Пришелец-13]

Добрый вечер, Bratez!

У нас в Питере еще день, полный мокрого снега и почти полного отсутствия мимоз (смерзла в Абхазии).

Спасибо Вам за быстрый отклик и действенные советы. После выполнения предложенного скрипта антивирус уже не выдавал красное окошко с предупреждением.

Отправляю все, что Вы просили.

[Bratez]

virus.zip уберите, это карантин! Я же дал ссылку для его загрузки.

В логах чисто.
Рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[drongo]

Рекомендуем работать на компьютере под ограниченным пользователем, пользоваться альтернативными браузерами (не IE). По моему лучше всего firefox+noscript