Показано с 1 по 8 из 8.

Вирус Wigon.by (заявка № 45073)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2009
    Сообщений
    4
    Вес репутации
    55

    Thumbs up Вирус Wigon.by

    Nod находит вирус Wigon.by и удаляет но после перезагрузки вирус вновь появляется. В автозагрузке если посмотреть через реестр постоянно висит servises.exe. Автоматическое восстановление Windows отключено изначально. Во время удаления всех временных файлов пользователя а также кеша интернет експлорера из папки Documents and settings, комп по русски мне сказал :"ЖАЛКО А У МЕНЯ ЕЩЁ ЕСТЬ" и еще что-то но не смог разобрать.

    После этого проделал все согласно правилам форума. В безопасном режиме проверил систему с помощью свежескачанного AVP в результате он удалил несколько троянов типа agent. А ткаже поработал с программами AVZ и HiJackThis. Комп вроде стал работать чуть лучше но из автозагрузки все ещё не могу удалить этот servises.exe.
    Вложения Вложения
    Последний раз редактировалось jvp_corp; 04.05.2009 в 10:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\servises.exe');
     StopService('systemntmi');
     StopService('securentm');
     StopService('port135sik');
     StopService('nicsk32');
     StopService('netsik');
     StopService('ksi32sk');
     StopService('i386si');
     StopService('gjliwmd');
     StopService('fips32cup');
     StopService('ati64si');
     StopService('amd64si');
     StopService('acpi32');
     QuarantineFile('crypts.dll','');
     QuarantineFile('c:\windows\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\bvpezglubxearjg.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
     QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
     QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
     QuarantineFile('C:\Driver\Files\zerX.exe','');
     QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
     DeleteService('systemntmi');
     DeleteService('securentm');
     DeleteService('port135sik');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('ksi32sk');
     DeleteService('i386si');
     DeleteService('gjliwmd');
     DeleteService('fips32cup');
     DeleteService('ati64si');
     DeleteService('amd64si');
     DeleteService('acpi32');
     DeleteFile('crypts.dll');
     DeleteFile('c:\windows\system32\servises.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\bvpezglubxearjg.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\afmain1.dll');
     DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
     DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
     DeleteFile('C:\Driver\Files\zerX.exe');
     DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
     DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
     DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
     DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('systemntmi');
     BC_DeleteSvc('securentm');
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('nicsk32');
     BC_DeleteSvc('netsik');
     BC_DeleteSvc('ksi32sk');
     BC_DeleteSvc('i386si');
     BC_DeleteSvc('gjliwmd');
     BC_DeleteSvc('fips32cup');
     BC_DeleteSvc('ati64si');
     BC_DeleteSvc('amd64si');
     BC_DeleteSvc('acpi32');
    ExecuteRepair(7);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2009
    Сообщений
    4
    Вес репутации
    55
    Большое спасибо! Все профиксил, выполнил скрипт в AVZ. Файл карантина отправил. После прочистки кеша експлорера больше ничего мне не говорит (впервые столкнулся с говорящим вирусом). В автозагрузке servises больше не появляется. Думаю что вирус мы успешно уничтожили. По ходу хотел спросить а как русифицировать AVZ а то он у меня все меню по английски выдает. И ещё хотел спросить совета по поводу антивируса. У клиента стоял Nod3 со свежими базами, а вирус все равно подхватил. Может поставить ему Касперского ???
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    По ходу хотел спросить а как русифицировать AVZ а то он у меня все меню по английски выдает.
    avz.exe /lang=ru

    Может поставить ему Касперского ???
    Однозначно...

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
     DeleteFile('C:\Driver\Files\zerX.exe');
     DeleteFile('C:\BIN\RECYCLE\Bin.exe');
     DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F187332');
     DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A322142');
     DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A323342');     
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    04.05.2009
    Сообщений
    4
    Вес репутации
    55
    Карантин прислал.

    Запускаю avz.exe /lang=ru но меню все равно английское, ну да ладно.

    Логи ниже:
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто.
    Ставьте SP3 и последующие обновления.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    04.05.2009
    Сообщений
    4
    Вес репутации
    55
    Спасибо БОЛЬШОЕ

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 39
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) jvp_corp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус TrojanDownloader.Wigon.BS
      От dila в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.04.2009, 15:33
    2. Вирус Wigon
      От Vemira в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 07:57
    3. Вирус Wigon.CK
      От adm_tolik_in в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:55
    4. Вирус wigon...
      От Urfin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 05:51
    5. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00458 seconds with 20 queries