Показано с 1 по 9 из 9.

Как удалить Win32/Wigon троян? (заявка № 25114)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    4
    Вес репутации
    31

    Thumbs up Как удалить Win32/Wigon троян?

    При проверке NOD32 постоянно обнаруживаются модифицированный WIN32/Wigon троян по адресу C:/WINDOWS/system32/drivers/. Имя файла постоянно меняется, например: Wingc55, Winot55, Winsf33 и т.д. После лечения антивирусом все эти файлы удаляются, но появляется новый фал с аналогичным названием, к которому антивирус доступа не имеет. Имя файла: Win + две буквы + две цифры.
    Пожалуйста, помогите справиться с этим трояном.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Прочитайте тут и удалите с помощью опции force delete
    Код:
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    C:\WINDOWS\System32\drivers\Winuj55.sys
    C:\WINDOWS\System32\drivers\Winsf33.sys
    C:\WINDOWS\System32\drivers\Winmd11.sys
    Не отчаивайтесь, если чего-то не найдете
    Пототм
    1.Отключите ПК от сети.
    2.Отключите Антивирус.
    3.Отключите системное востановление.
    4. Пофиксите
    Код:
    O1 - Hosts: 84.95.250.10 l2testauthd.lineage2.com
    O1 - Hosts: 84.95.250.10 l2authd.lineage2.com
    O1 - Hosts: 84.95.250.10 nprotect.lineage2.com
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winsf33');
     DeleteService('Winuj55');
     DelWinlogonNotifyByFileName('WinCtrl32.dll');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winuj55.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winsf33.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmd11.sys','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmd11.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winsf33.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winuj55.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    6. Очистите темп-папки и кэш проводников.
    7. Закачайте карантин по красной ссылке вверху темы
    8. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    4
    Вес репутации
    31
    Выполнил все предписанные действия, прислал карантин и логи.

    P.S. Сори, в первый раз программой AVZ проверял только диск C:, теперь разобрался и проверил все диски.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Gennady Посмотреть сообщение
    в первый раз программой AVZ проверял только диск C:
    Так и надо
    Цитата Сообщение от Gennady Посмотреть сообщение
    теперь разобрался и проверил все диски.
    А это было ни к чему - АВЗ настроен на борьбу с руткитами, которые нужно ловить исключительно на системных разделах. Сейчас логи замусорены ненужной информацией.
    В логах чисто. Какие проблемы замечаете?

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    4
    Вес репутации
    31
    Вроде бы всё нормально, однако смущает вот это (из протокола AVZ):

    Код:
    3. Сканирование дисков
    D:\Program Files\Lineage II\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088)
    D:\Program Files\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088)
    D:\SERVER\Lineage II dc\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp ( 085F3A26 03F58625 0021AD0F 001E3567 89088)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll>>> Поведенческий анализ 
    

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Gennady Посмотреть сообщение
    Вроде бы всё нормально, однако смущает вот это (из протокола AVZ):
    D:\Program Files\Lineage II\system\Project1.dll >>> подозрение на Trojan.Win32.BHO.bfp
    Это не системный диск и не системный раздел. Здесь чисто поведенческое подозрение. ЕСли Вы эту программу знаете, то можете сообщение игнорировать. Если нет - закачайте файл согласно приложению 3 правил и этому описанию: http://virusinfo.info/showthread.php?t=4567
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    Дайте себе труд и дочитайте пункт 5 протокола до конца

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    4
    Вес репутации
    31
    Всё понятно. Спасибо большое за помощь.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Если проблем не наблюдается, то нам была бы сейчас интересна Ваша оценка нашего ресурса и раздела "Помогите". Вы можете опубликовать её в теме Скажи, что ты думаешь о Virusinfo.
    Пострайтесь при ответе придерживаться следующей схемы:
    1. Всё ли Вам было понятно?
    2. Устраивает ли Вас форма, в которой проходило лечение?
    3. Нашли ли Вы полезные материалы у нас?
    4. Чего, по Вашему мнению, нам не хватает?
    Мы будем Вам очень благодарны за отзыв, он может помочь нам улучшить ресурс.
    Советуем так же прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,519
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Gennady, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. НЕ могу удалить Win32/TrojanDownloader.Wigon.BS
      От horev в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.06.2009, 17:59
    2. Помогите удалить Win32/Wigon.CK
      От galdikas в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:38
    3. win32/wigon.ck троян никак не могу удалить!
      От chip08 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:23
    4. Как удалить Win32/Wigon.CK trojan
      От Max710 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.10.2008, 21:21
    5. Как удалить Win32/Wigon.CK trojan?
      От Max710 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.10.2008, 21:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00949 seconds with 21 queries