И снова Win32/Wigon...

[Zarastro]

Здравствуйте!

При подключении к интернету Нод32 обнаруживает модифицированный Win32/Wigon. И удаляет его. Каждый раз...
Только толку от этого никакого. В cmd набираю netstat - показывает кучу непонятных соединений. Трафик идет по полной программе!
Заранее спасибо за помощь!

[Bratez]

Отключите интернет и антивирус.
Пофиксите в HijackThis:

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll

Не перезагружаясь после фикса, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\fservice.exe','');
 QuarantineFile('C:\DOCUME~1\GOLOVU~1\LOCALS~1\Temp\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\DOCUME~1\GOLOVU~1\LOCALS~1\Temp\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\fservice.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Xdq32');
 BC_DeleteSvc('wpM62');
 BC_DeleteSvc('woM23');
 BC_DeleteSvc('voQ44');
 BC_DeleteSvc('Uff51');
 BC_DeleteSvc('tlL30');
 BC_DeleteSvc('Tgt35');
 BC_DeleteSvc('snD77');
 BC_DeleteSvc('Sld22');
 BC_DeleteSvc('protect');
 BC_DeleteSvc('Phc46');
 BC_DeleteSvc('nsC20');
 BC_DeleteSvc('Naf63');
 BC_DeleteSvc('mrU54');
 BC_DeleteSvc('mhC10');
 BC_DeleteSvc('Lxq51');
 BC_DeleteSvc('leJ06');
 BC_DeleteSvc('Jym85');
 BC_DeleteSvc('jtV26');
 BC_DeleteSvc('Jte30');
 BC_DeleteSvc('Ibi85');
 BC_DeleteSvc('huK28');
 BC_DeleteSvc('Haa84');
 BC_DeleteSvc('Glt37');
 BC_DeleteSvc('ggB24');
 BC_DeleteSvc('faF84');
 BC_DeleteSvc('dlV77');
 BC_DeleteSvc('ckC48');
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('dmserverSwPrv');
 BC_DeleteSvc('avagnt');
 BC_DeleteSvc('Automatic LiveUpdate Scheduler');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24262).
Сделайте новые логи, начиная с п.10 правил.

[Zarastro]

После выполнения скрипта комп не перезагрузился. То есть рабочий стол очистился, музыка прощальная сыграла , но продолжал висеть фон. Так минут 10, и я перезагрузился ресетом. Это ничего?

Карантин загрузил, логи прилагаются.

Вроде сейчас трафик не идет...

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 1);
BC_DeleteSvc('Sii85');
BC_DeleteSvc('ibB07');
BC_DeleteSvc('Bvb57');
BC_Activate;
RebootWindows(true);
end.

Повторите лог syscheck.

[Zarastro]

Все сделал.

[Bratez]

Теперь все чисто. Автозапуск CD заработал?

[Zarastro]

Да, большое спасибо!!!

Посоветуйте пожалуйста файрвол. А то моего НОДа явно не хватает для безопасности системы. Постоянно ловлю троянов. И если раньше удавалось их вычистить самостоятельно, то теперь вот только с вашей помощью.

[Bratez]

Про фаерволлы в этом разделе много информации:
http://virusinfo.info/forumdisplay.php?f=40

Было: WinNt32.dll - Trojan-Downloader.Win32.Mutant.adh

[Zarastro]

Просто кошмар какой-то! Пока я выбирал файрвол, проклятый Wigon вновь пролез в мой комп... (((
Ужас...

[Bratez]

А НОД у вас обновляется? Что-то он совсем мышей не ловит

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\kdheh.exe','');
DeleteFile('C:\WINDOWS\system32\kdheh.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportALL;
BC_DeleteSvc('Wwh65');
BC_DeleteSvc('Wmc03');
BC_DeleteSvc('Ukx27');
BC_DeleteSvc('Rfk67');
BC_DeleteSvc('Hfa07');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.

[Zarastro]

Карантин загрузил. Скрипт выполнил.

НОД обновляется регулярно... Но у меня версия 2,7. Может, она уже не справляется?
Без файрвола точно не обойтись...

[Bratez]

Выполните такой скрипт:

Код:

begin
RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System'); 
 BC_DeleteSvc('Sup33');
 BC_DeleteSvc('Six02');
 BC_DeleteSvc('Oct62');
 BC_DeleteSvc('Bel01');
BC_Activate;
RebootWindows(true);
end.

Повторите лог syscheck.

Да, версию программы пора заменить на более свежую.

[Zarastro]

Ок

[Bratez]

Чисто.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\kdheh.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)
  2. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)
  3. c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)