Показано с 1 по 11 из 11.

Win32/Wigon.Cl trojan (заявка № 25186)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33

    Question Win32/Wigon.Cl trojan

    Снова трояна поймал. Логи прикрепляю.
    Последний раз редактировалось ab777; 24.06.2008 в 23:09.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Восстановление системы: включено
    Отключать надо на время лечения.
    база от 20.06.2008
    Базы обновить надо
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\aelupsvce.dll','');
     DeleteFile('C:\Windows\system32\aelupsvce.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки - карантин и логи по правилам в студию
    ПС: Где и кем был найден Win32/Wigon.Cl trojan?

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33

    троян найден nod32

    восстановление отключаю...

  5. #4
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33

    новые логи

    прикреплены
    Последний раз редактировалось ab777; 24.06.2008 в 23:09.

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33
    карантин закачал.

    Добавлено через 1 час 38 минут

    Все правильно прицепилось/закачалось?

    Добавлено через 48 минут

    ?

    Добавлено через 32 минуты

    ответьте, плиз, что-нибудь...
    Последний раз редактировалось ab777; 24.06.2008 в 00:05. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    В логах ничего зловредного не видно. Проблема решилась?
    Почему не ответили на мой вопрос из сообщения 2?

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33
    Проблема не решилась. Nod кричит на тот же вирус.
    На все вопросы вроде ответил. Что именно не понятно?

    Вирус ловится, но не удаляется.

    Добавлено через 1 час 38 минут

    ПОсле перезагрузки отрубилось оформление аэро в висте.

    Переписываю, что нод выдает:

    Alert details:
    wwwwhttpwwwru.ru/loader.exe

    Threat:
    Win32/Wigon.CI trojan

    Comment:
    The object contains a threat to your computer

    Добавлено через 3 минуты

    Avz выдает вот такую хрень при проверке:

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 852231F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 852231F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 80DD51F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 80DD51F8 -> перехватчик не определен
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 94
    Количество загруженных модулей: 713


    Добавлено через 1 минуту

    Также заблокирован доступ в папку Document and Settings
    Последний раз редактировалось pig; 24.06.2008 в 02:14. Причина: деактивировал ссылку

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А, NOD загрузку зверя из Сети тормознул. Естественно, что удалять нечего - зверь снаружи, туда вам не дотянуться.

    Перехваты от Daemon Tools или Алкоголя - не пойму, что у вас стоит, но драйвер соответствующий в памяти висит.

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33
    НЕ уверен. Окно-то не убирается даже когда сеть выключается. Постоянно вылезает.
    Плюс заблокировалась системная папка, плюс перехватчики левые в системе остались, плюсь вырубился интерфейс аэро(вернул руками в настройках - сбросился на стандартный стиль). Плюс блокируется установка setup_7.0.0.223_23.06.2008_21-30.exe, плюс блокируется запуск IceSword. Исчез из трея значок сетевого подключения.
    Что делать дальше?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    По поводу Аэро - в порядке бреда попробуйте восстановить из карантина AVZ C:\Windows\system32\aelupsvce.dll - вдруг как раз от него библиотека.

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    68
    Вес репутации
    33
    Не, аэро на месте... Просто сбросился интерфейс на стандартный.
    Перезагрузился. Значок сети вернулся.
    Вырубил маршрутизатор. Инет вырубил. Нод молчит.
    Начал орать APS - хакер на 80 порту. Попытки идут одна за одной изнутри наружу.
    Комп вырублен от инета.
    Папка Document and Settings по прежнему заблокирована.

    В системе сидит какая-то хрень - абсолютно точно.

    Добавлено через 1 минуту

    Попробую загрузится с реаниматора. Прогнать еще раз антивирусом.

    Добавлено через 13 минут

    Да, еще вспомнил у нода вдруг отрубилась возможность обновления баз. Типа истек период и т.п. Чего быть не должно.

    Добавлено через 40 минут

    При загрузке с реаниматора (XP) не видит диски на харде ноутбука, на котором установлена виста. На компе с XP все работало. Поэтому прогнать антивирус извне не получается.

    Что еще можно сделать?

    Добавлено через 30 минут

    Каперский "мини" снес, который так и не установился нормально на висту. Может он и долбился в 80 порт наружу?

    Снес НОД поставил вместо него корпоративный SAV...
    Может это нод вызывает глюки просроченный и не очень "белый"? Типа защита софта производителем?

    Пока тихо...
    Последний раз редактировалось ab777; 24.06.2008 в 04:03. Причина: Добавлено

  • Уважаемый(ая) ab777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    2. Win32/wigon.CK.trojan
      От installer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 06:34
    3. Ещё раз о Win32/Wigon.CK trojan
      От ghermspb в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:27
    4. Win32/Wigon.CK trojan
      От voonderkind в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.10.2008, 13:41
    5. Win32/Wigon trojan
      От ZloRu в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.06.2008, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00434 seconds with 20 queries