Показано с 1 по 8 из 8.

Троян Wigon.GM (заявка № 34956)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2008
    Сообщений
    4
    Вес репутации
    30

    Thumbs up Троян Wigon.GM

    Добрый день. Вчера на компе появился троян Wigon.GM, после каждого подключения к интернету (перезагрузки) NOD находил все новые файлы (итого 10 шт. на данный момент) и помещел их в карантин, но не удалял.

    Сделал все по правилам. В процессе работы AVZ выскакивала ошибка ("Access violation at adress 00402254 in module 'avz.exe'. Write at adress 4643535D"), так к слову. И еще, в процессе выполнения п. 8, 10, 12 ekrn.exe (NOD'овский файл)отключить не удалось Пока писал сообщение NOD еще 2 таких же трояна нашел, а также забилась вся оперативка и виртуалка... Помогите пожалуйста!

    Заранее благодарен.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Пофиксить

    Код:
    O20 - AppInit_DLLs: E	‘|N	‘|sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('sockspy.dll','');
     DeleteService('ati6wbxx');
     DeleteService('ati6swxx');
     DeleteService('ati6ptxx');
     DeleteService('ati6osxx');
     DeleteService('ati6fkxx');
     DeleteService('ati5xcxx');
     DeleteService('ati5gkxx');
     DeleteService('ati3fjxx');
     DeleteService('ati2fjxx');
     DeleteService('ati2aexx');
     DeleteService('ati1dhxx');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1dhxx.sys','');
     QuarantineFile('c:\windows\system32\rs32net.exe','');
     TerminateProcessByName('c:\windows\system32\rs32net.exe');
     DeleteFile('c:\windows\system32\rs32net.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1dhxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2aexx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2fjxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati3fjxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5gkxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5rvxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5xcxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6fkxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6ptxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6swxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6wbxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7hlxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7osxx.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2008
    Сообщений
    4
    Вес репутации
    30
    Спасибо. Новые трояны не появляются, что самое главное (ошибки тоже не выскакивают, память в норме), только у NOD'a в карантине по-прежнему теже файлы. При фиксе Hijackthis была следующая ошибка:

    "An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: E ‘|N ‘|sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll)
    Error #5 - Invalid procedure call or argument
    Please email me at merijn@spywareinfo.com, reporting the following:
    * What you were trying to fix when the error occurred, if applicable
    * How you can reproduce the error
    * A complete HijackThis scan log, if possible
    Windows version: Windows NT 5.01.2600
    MSIE version: 7.0.5730.13
    HijackThis version: 1.99.1
    This message has been copied to your clipboard.
    Click OK to continue the rest of the scan. "

    Не сообразил вовремя и профиксил в старой версии 1.99.1.... Надеюсь это не навредило. + после запуска указанного скрипта в AVZ был следующий эффект - автоматический перезагрузки не было , просто, исчезли все ярлыки и функции рабочего стола, осталась только картинка... Я подождал мин 5-7 и , ввиду того , что комп не подавал признаков жизни сделал резет....

    Подскажите пожалуйста, что дальше делать
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati8yexx');
     DeleteService('ati8osxx');
     DeleteService('ati3otxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8osxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8yexx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati8yexx');
    BC_DeleteSvc('ati8osxx');
    BC_DeleteSvc('ati3otxx');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2008
    Сообщений
    4
    Вес репутации
    30
    Скрипт сделал, на этот раз комп нормально перезагрузился. Прикрепляю новый лог virusinfo_syscheck.zip.

    Немного напрягает тот факт, что нод по-прежнему, хранит записи о карантине этих файлов, хотя физического их наличия в указанном программой месте я не обнаружил (это под администратором, а под ограниченной записью пишет, что все удалено). + 7 процессов svchost.exe при просмотре диспетчера задач (4 system, 2 network service, 1 local service)..
    Вложения Вложения
    Последний раз редактировалось bubko83; 03.12.2008 в 00:59.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В логах чисто...

  8. #7
    Junior Member Репутация
    Регистрация
    01.12.2008
    Сообщений
    4
    Вес репутации
    30
    Огромное спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Inject.kwi (DrWEB: BackDoor.Bulknet.256)


  • Уважаемый(ая) bubko83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Троян Wigon.BS
      От StPetersburg в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.04.2009, 01:58
    2. Троян Wigon
      От pirat_z в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:36
    3. Wigon.By троян
      От mirrima в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:44
    4. троян Wigon
      От HELLga25 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.11.2008, 19:56
    5. Троян wigon.Z
      От kqwer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.09.2007, 14:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00020 seconds with 21 queries