Показано с 1 по 5 из 5.

Win32 Wigon.BA trojan, хелп (заявка № 23585)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    2
    Вес репутации
    58

    Exclamation Win32 Wigon.BA trojan, хелп

    Дико тормозила загрузка интернет-страниц, после этого начал тормозить комп, после рестарта грузился еле-еле.

    При первичной проверке NOD32 после рестарта удалил \Documents and Settings\profile\win.exe, пометив как подозрение на Win32 Wigon.BA trojan.

    В proexp висят 2 процесса svchost.exe отдельно от группы, tcpview показывает немеренную сетевую активность со стороны одного из тех процессов svchost (по id процесса тот же).

    Avz заподозрил еще C:\WINDOWS\system32\Drivers\Ylk88.sys, еще несколько файлов из C:\WINDOWS\Installer\.

    После скана и лечения avz и рестарта активность, судя по tcpview, сохраняется.

    Помогите, плиз.

    Карантин
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пофиксите
    Код:
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ylk88.sys','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ylk88.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите логи.
    Последний раз редактировалось Rene-gad; 28.05.2008 в 17:47.

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    2
    Вес репутации
    58
    При выполнении скрипта на каждый файл было по сообщению "Для удаления необходима перезагрузка". После перезагрузки файлы остались. При удалении руками и разблокировании говорит то же, самое "Удаление файла невозможно. Удалить при следующей перезагрузке?". После очередного рестарта всё по-прежнему.
    Как удалить?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скопируйте скрипт в текстовый файл, загрузитесь в безопасном режиме, запустите АВЗ и выполните скрипт.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Значит надо скачивать IceSword. http://uploading.com/ru/files/VVKG3ZDO/1.zip.html

    В нем сначала куда-нибудь скопировать:'C:\WINDOWS\system32\WinNt32.dll',
    'C:\WINDOWS\system32\Drivers\Ylk88.sys', а потом их удалить.

    После этого выполнить скрипт Rene-gad
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Torus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Ddox.ci ХЕЛП!
      От Dartik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.07.2011, 16:22
    2. Хелп!Trojan.Win32.Ddox.ci
      От v_krow в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.07.2011, 19:43
    3. Хелп! Trojan.Win32.Ddox.ci
      От Иван 2115 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.06.2011, 00:26
    4. Trojan.Win32.Ddox.ci !!! Хелп
      От KhalikovRR в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.06.2011, 15:20
    5. хелп win32/kryptik.vf trojan
      От spirit_dja в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.06.2009, 13:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00463 seconds with 20 queries