Показано с 1 по 10 из 10.

Win32/Conficker.AE и Win32/TrojanDownloader.Wigon.BS (заявка № 43903)

  1. #1
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55

    Thumbs up Win32/Conficker.AE и Win32/TrojanDownloader.Wigon.BS

    Здравствуйте глубокоуважаемые!

    Недавно от шефа подхватил Win32/Conficker.AE на переносной винчестер. Нод32 на ПК сразу начал ругаться, но как обычно удалить не смог и после перезагрузки. Позавчера пошли активничать Win32/TrojanDownloader.Wigon.BS, Win32/TrojanDownloader.Agent.OWB, Win32/TrojanDownloader.Agent.ORH, Win32/TrojanDownloader.Bredolab.AA.
    Нод32 блокировал их, но атаки продолжались. Смог на другой машине залить новые базы и все просканить: Agent и Bredolab вроде удалились, Conficker остался, а Wigon вообще где-то пропал.
    Поставил нужные заплатки, закрыл автозапуск и с помощью КК.ехе и Нод32 удалось убить Autorun.inf (INF/Conficker).
    Благодаря Dr. Web CureIt вроде добил окончательно Conficker да еще парочку каких-то Win32/TrojanDownloader. Сейчас вроде все тихо.
    Проверьте пожалуйста логи: избавился ли я от этой гадости?
    Заранее благодарен!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Заплатки, автозапуск... об это позаботились, а вот SP3 не поставили

    "Пофиксите" в HijackThis
    Код:
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\F30\.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\F30\.exe');
    BC_ImportAll;
     BC_DeleteSvc('Mst960');
     BC_DeleteSvc('systemntmi');
     BC_DeleteSvc('securentm');
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('nicsk32');
     BC_DeleteSvc('netsik');
     BC_DeleteSvc('i386si');
     BC_DeleteSvc('fips32cup');
     BC_DeleteSvc('ati64si');
     BC_DeleteSvc('amd64si');
     BC_DeleteSvc('acpi32');
     BC_DeleteSvc('ws2_32sik');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Если в карантин что-то попало, то пришлите его, как написано в правилах по ссылке "Прислать запрошенный карантин"...
    Очистите все темп-папки.
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Огромное спасибо!

    Все выполнил, в карантин вроде ничего не залетело. Прикрепил также повторные логи.

    P.S. О SP3 я задумывался давно, да начитался, что у кого-то были какие-то проблемы (даже с лицензионной виндой) и решил повременить, тем более мне на днях нужно на месяц будет уехать и какие-либо сбои на ноуте мне не желательны. Но обязательно доставлю! Еще раз огромное спасибо!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Denozaur Посмотреть сообщение
    О SP3 я задумывался давно, да начитался, что у кого-то были какие-то проблемы
    А о проблемах БЕЗ СП3 ничего не читали? Посмотрите наш форум

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digiwet.dll','');
     DeleteFile('digiwet.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи

    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

    - Обновите Адоби Ридер

  6. #5
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Огромное и Вам спасибо!
    Все сделал и прикрепил логи.

    П.С. Благодарю и за убеждения по поводу СП3! Сегодня же поставлю!
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего подозрительного не обнаружил. Жалобы есть?

  8. #7
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Да вроде все работает нормально. Огромное Вам спасибо!!!

    P.S. Сейчас эту нечесть попытаемся убить из нашей рабочей локалки

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Компьютер, который будете лечить отключите от сети. И необходимые заплатки, SP3 установите с диска или флешки.

  10. #9
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    30
    Вес репутации
    55
    Благодарю Вас, уважаемый light59, за эти рекомендации!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Denozaur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 13:52
    2. Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS
      От tov-serjant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.06.2009, 08:54
    3. Win32/TrojanDownloader.Wigon.BS
      От krokozabr в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.06.2009, 10:53
    4. Win32/Wigon, Win32/IRCBot.ADZ, Win32/TrojanDownloader.Agent.ORH
      От Seleniy в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2009, 20:47
    5. win32/TrojanDownloader.Wigon.s
      От lixolet в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00573 seconds with 20 queries