Показано с 1 по 8 из 8.

Win32/Wigon.CK (заявка № 26421)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    4
    Вес репутации
    58

    Thumbs up Win32/Wigon.CK

    Все так же, как и это посте
    "После чтения провокационного эл. письма о сообщении якобы с сайта
    www.odnoklassniki.ru (купился!) из Инета загружен вирус. При отключенном инете Cure It полностью вычищает комп. Проверка AVZ и HiJack проводилась при подключенном инете, выключенном восстановлении системы и выключенном резидентно NOD32.
    При перезагрузке компа, NOD активируется и перехватывает вирусный драйвер."

    В первый раз неизвестно откуда все это появилось. Но после запуска Cure It несколько недель назад всё пропало. И вот теперь письмо с одноклассников и все заново, единственное, что теперь NOD32 распознает только 1 вирус Win32/Wigon.CK, раньше же были ещё Trojan.Rntm.10, Trojan.Downloader.63553.

    NOD 32 выдает следующее:
    Файл C:\WINDOWS\System32\drivers\Winos72.sys
    Вирус Win32/Wigon.CK троян
    Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN12.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
    Файлы *.sys и *.tmp каждый раз имеют разные названия

    Подскажите пожалуйста, как быть, уже устала от него.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\~.exe','');
     QuarantineFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\R4BIYZUM\load[1].exe','');
     QuarantineFile('C:\Documents and Settings\Yana\Local Settings\Temp\winwQMx046Y.exe','');
     QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
     DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
     BC_DeleteSvc('Winyf16');
     BC_DeleteSvc('Winye84');
     BC_DeleteSvc('Winye05');
     BC_DeleteSvc('Winxf16');
     BC_DeleteSvc('Winxd84');
     BC_DeleteSvc('Winwe40');
     BC_DeleteSvc('Winwe15');
     BC_DeleteSvc('Winwe05');
     BC_DeleteSvc('Winvb40');
     BC_DeleteSvc('Winub04');
     BC_DeleteSvc('Winua27');
     BC_DeleteSvc('Winty38');
     BC_DeleteSvc('Winty15');
     BC_DeleteSvc('Winsy83');
     BC_DeleteSvc('Winsy61');
     BC_DeleteSvc('Winsy05');
     BC_DeleteSvc('Winsx52');
     BC_DeleteSvc('Winsa27');
     BC_DeleteSvc('Winrx27');
     BC_DeleteSvc('Winrw84');
     BC_DeleteSvc('Winrw83');
     BC_DeleteSvc('Winqw61');
     BC_DeleteSvc('Winqv72');
     BC_DeleteSvc('Winqv05');
     BC_DeleteSvc('Winpv61');
     BC_DeleteSvc('Winou84');
     BC_DeleteSvc('Winot37');
     BC_DeleteSvc('Winms38');
     BC_DeleteSvc('Winmq84');
     BC_DeleteSvc('Winls27');
     BC_DeleteSvc('Winkq26');
     BC_DeleteSvc('Winkp37');
     BC_DeleteSvc('Winkp27');
     BC_DeleteSvc('Winkp26');
     BC_DeleteSvc('Winjp51');
     BC_DeleteSvc('Winjp27');
     BC_DeleteSvc('Winjo73');
     BC_DeleteSvc('Winjo15');
     BC_DeleteSvc('Winjn05');
     BC_DeleteSvc('Winin51');
     BC_DeleteSvc('Winho40');
     BC_DeleteSvc('Winhm84');
     BC_DeleteSvc('Winhm15');
     BC_DeleteSvc('Winhl27');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn51.sys','');
     BC_DeleteSvc('Wingn51');
     BC_DeleteSvc('Wingm73');
     BC_DeleteSvc('Wingl84');
     BC_DeleteSvc('Wingl05');
     BC_DeleteSvc('Winfk72');
     BC_DeleteSvc('Winfk48');
     BC_DeleteSvc('Winfk16');
     BC_DeleteSvc('Winek62');
     BC_DeleteSvc('Winej40');
     BC_DeleteSvc('Winej38');
     BC_DeleteSvc('Windi62');
     BC_DeleteSvc('Winbh84');
     BC_DeleteSvc('Winbg05');
     BC_DeleteSvc('Winah73');
     BC_DeleteSvc('Winag63');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
     BC_DeleteSvc('Winag51');
     BC_DeleteSvc('Wch37');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wch37.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('Sye48');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sye48.sys','');
     BC_DeleteSvc('Rxc51');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rxc51.sys','');
     BC_DeleteSvc('Rxc05');
     BC_DeleteSvc('Qwb62');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qwb62.sys','');
     BC_DeleteSvc('Ouy40');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ouy40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jpt40.sys','');
     BC_DeleteSvc('Jpt40');
     BC_DeleteSvc('Jot27');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jot27.sys','');
     BC_DeleteSvc('xmlprovSamSs');
     BC_DeleteSvc('WZCSVCRichVideo');
     BC_DeleteSvc('wuauservaspnet_state');
     BC_DeleteSvc('WMPNetworkSvcAppMgmtwuauservaspnet_state');
     BC_DeleteSvc('WMPNetworkSvcAppMgmtSpooleraspnet_stateSQLAgent$PINNACLESYS');
     BC_DeleteSvc('WMPNetworkSvcAppMgmtSpooleraspnet_state');
     BC_DeleteSvc('WMDMSSDPSRV');
     BC_DeleteSvc('WebClientwinmgmtMSIServer');
     BC_DeleteSvc('WebClientwinmgmt');
     BC_DeleteSvc('W32TimeWebClientwinmgmtMSIServer');
     BC_DeleteSvc('TrkWksERSvc');
     BC_DeleteSvc('ThemesNetDDEdsdm');
     BC_DeleteSvc('TermServicePolicyAgent');
     BC_DeleteSvc('SysmonLogWebClient');
     BC_DeleteSvc('SQLAgent$PINNACLESYSWMPNetworkSvc');
     BC_DeleteSvc('Spooleraspnet_state');
     BC_DeleteSvc('SENSLmHosts');
     BC_DeleteSvc('SamSsSharedAccesswuauservaspnet_state');
     BC_DeleteSvc('SamSsSharedAccessupnphost');
     BC_DeleteSvc('SamSsSharedAccess');
     BC_DeleteSvc('SamSs Service for CDROM Access');
     BC_DeleteSvc('RDSessMgrRpcSs');
     BC_DeleteSvc('RasMan LM Service');
     BC_DeleteSvc('RasAutohelpsvc');
     BC_DeleteSvc('ProtectedStoragewuauservaspnet_state');
     BC_DeleteSvc('NtmsSvcCryptSvc');
     BC_DeleteSvc('Nlawscsvc');
     BC_DeleteSvc('NetmanNetDDE');
     BC_DeleteSvc('MSSQL$PINNACLESYSSENS');
     BC_DeleteSvc('Eventlogdmservermnmsrvc');
     BC_DeleteSvc('Eventlogdmserver');
     BC_DeleteSvc('Creativestisvc');
     BC_DeleteSvc('CreativeWebClientwinmgmtMSIServer');
     BC_DeleteSvc('CreativeRasAutowinmgmt');
     BC_DeleteSvc('CreativeRasAuto');
     BC_DeleteSvc('COMSysAppSCardSvr');
     BC_DeleteSvc('COMSysAppdmserver');
     BC_DeleteSvc('ClipSrvWmdmPmSN');
     BC_DeleteSvc('CCALib8ERSvc');
     BC_DeleteSvc('AlerterBrowser');
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jot27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jpt40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ouy40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rxc05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rxc51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sye48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wch37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winah73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbh84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingm73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhm15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winho40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhm84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjn05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmq84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winms38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winot37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winou84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsa27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsx52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsy05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsy61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsy83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winua27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winub04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvb40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwe05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwe15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwe40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxd84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxf16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyf16.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
     DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temp\winwQMx046Y.exe');
     DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\R4BIYZUM\load[1].exe');
     DeleteFile('C:\Documents and Settings\Yana\Local Settings\Temporary Internet Files\Content.IE5\ZF9LD5XE\load[1].exe');
     DeleteFile('C:\WINDOWS\system32\~.exe');
      DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    4
    Вес репутации
    58
    сделала..
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winsx26');
     BC_DeleteSvc('Winlr73');
     BC_DeleteSvc('Winio16');
     BC_DeleteSvc('Winin84');
     BC_DeleteSvc('ethshrpy');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethshrpy.sys','');
     BC_DeleteSvc('wscsvcCCALib8');
     BC_DeleteSvc('WMPNetworkSvcAppMgmt');
     BC_DeleteSvc('upnphostNetlogon');
     DeleteFile('C:\WINDOWS\system32\drivers\ethshrpy.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlr73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsx26.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    4
    Вес репутации
    58
    эх...наверно это просто запущенный случай...
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    выполните скрипт ....
    Код:
    begin
     BC_DeleteSvc('xmlprovSCardSvr');
     BC_Activate;
     RebootWindows(true);
    end.
    какие -то проблемы остались ?

  8. #7
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    4
    Вес репутации
    58
    NOD32 больше не ругается
    спасибо огромное =)

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\yana\\local settings\\temporary internet files\\content.ie5\\r4biyzum\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
      2. c:\\documents and settings\\yana\\local settings\\temporary internet files\\content.ie5\\zf9ld5xe\\load[1].exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
      3. c:\\documents and settings\\yana\\local settings\\temp\\winwqmx046y.exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
      4. c:\\windows\\system32\\drivers\\ethshrpy.sys - Rootkit.Win32.Agent.bcf (DrWEB: Trojan.Spambot.347
      5. c:\\windows\\system32\\~.exe - Trojan-Downloader.Win32.Mutant.amd (DrWEB: Trojan.DownLoad.932)
      6. c:\\windows\\system32\\ipv6monl.dll - Trojan-Spy.Win32.BZub.ebz (DrWEB: Trojan.PWS.Tanspy.1462)
      7. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aml (DrWEB: Trojan.DownLoader.63553)


  • Уважаемый(ая) Verse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 13:52
    2. Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS
      От tov-serjant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.06.2009, 08:54
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. Win32/Wigon.GM и Win32/Wigon.BY как вылечить?
      От Evgenich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:54
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00651 seconds with 20 queries