Показано с 1 по 15 из 15.

Win32/Wigon (заявка № 24624)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58

    Thumbs up Win32/Wigon

    немогу избавиться от этого надоедливого вигона, засел в winlogone и выходить не собирается

    C:\WINDOWS\system32\WinCtrl32.dll Win32/Wigon

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Нужны логи по правилам: http://virusinfo.info/showthread.php?t=1235
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    up
    Последний раз редактировалось taxox; 05.11.2008 в 11:26.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    На время выполнения фикса и скрипта отключите интернет и антивирус.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Winlp82');
     StopService('Vbe36');
     SetServiceStart('Winlp82', 4);
     SetServiceStart('Vbe36', 4);
     QuarantineFile('C:\WINDOWS\system32\prxsvc.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dhk58.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winlp82.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Vbe36.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dhk58.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Dhk58');
    BC_DeleteSvc('Winlp82');
    BC_DeleteSvc('Vbe36');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24624).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    up
    Файл закачан
    Последний раз редактировалось taxox; 05.11.2008 в 11:26.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip, распакуйте, запустите, слева внизу нажмите File. Найдите следующие файлы:
    C:\WINDOWS\system32\Drivers\Winlp82.sys
    C:\WINDOWS\system32\Drivers\Vbe36.sys
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Нажмите на каждый правой кнопкой и выберите Force Felete.

    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\prxsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\prxsvc.dll','');
     DeleteFile('C:\WINDOWS\system32\prxsvc.dll');
     DeleteFile('C:\WINDOWS\system32\prxsvc.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vbe36.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winlp82.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Winlp82');
    BC_DeleteSvc('Vbe36');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Повторите логи, начиная с п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    up
    файл загружен
    Последний раз редактировалось taxox; 05.11.2008 в 11:26.
    All right, everybody be cool, this is a robbery!

  9. #8
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    нарушил правило, но при сканировании программой AVZ после третьего пункта сканирования дисков у меня в окне сообщений qip появилось следующее:

    testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttest
    All right, everybody be cool, this is a robbery!

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    BitAccelerator,VirtualNetwork- деисталировать .....
    пофиксите ....
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    O21 - SSODL: prxsvc - {153C2CE9-2112-4DEB-931D-365508CEEDF2} - prxsvc.dll (file missing)
    повторите логи начиная с пункта 10 правил ...
    насчет testtesttesttesttestt ... это работа авз - так ищутся клавиатурные перехватчики ... только не припомню что бы в правилах было написано , что при проверке авз нужно запускать квип ... видимо склероз ....

  11. #10
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    я ж говорю, нарушил правило и запустил его, сейчас все сделаю
    All right, everybody be cool, this is a robbery!

  12. #11
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    up
    Последний раз редактировалось taxox; 05.11.2008 в 11:26.
    All right, everybody be cool, this is a robbery!

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    удалите временные интернет файлы .... больше ничего подозрительного ...

  14. #13
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    спасибо огромное
    еще вопрос, как нужно устраивать безопасностью компьютера, у меня стоит только NOD , сейчас скачал agnitum firewall буду настраивать. может еще что то ?
    All right, everybody be cool, this is a robbery!

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    По возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
    прочитате электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  16. #15
    Junior Member Репутация
    Регистрация
    15.06.2008
    Адрес
    Владикавказ
    Сообщений
    60
    Вес репутации
    58
    еще раз спасибо
    All right, everybody be cool, this is a robbery!

  • Уважаемый(ая) taxox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 13:52
    2. Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS
      От tov-serjant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.06.2009, 08:54
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. Win32/Wigon.GM и Win32/Wigon.BY как вылечить?
      От Evgenich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:54
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01480 seconds with 19 queries