Страница 1 из 5 12345 Последняя
Показано с 1 по 20 из 85.

Поймал Wigon.BS (заявка № 46884)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28

    Thumbs up Поймал Wigon.BS

    стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 31.05.2009 в 13:06.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine; 
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Администратор\Администратор.exe');
     QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
     QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     QuarantineFile('C:\WINDOWS\system\netmon.exe','');
     QuarantineFile('I:\Run.exe','');
     DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
     DeleteFile('C:\WINDOWS\system32\activedso.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\Documents and Settings\LocalService\.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
     DeleteFile('C:\WINDOWS\system\netmon.exe');
     DeleteFile('I:\Run.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(13);
    BC_DeleteSvc('stisvcSSDPSRV');
    BC_DeleteSvc('acpi32');
    BC_DeleteSvc('amd64si');
    BC_DeleteSvc('ati1kqxx');
    BC_DeleteSvc('ati2flxx');
    BC_DeleteSvc('ati4flxx');
    BC_DeleteSvc('ati64si');
    BC_DeleteSvc('ati7qwxx');
    BC_DeleteSvc('ati8qwxx');
    BC_DeleteSvc('fips32cup');
    BC_DeleteSvc('i386si');
    BC_DeleteSvc('ksi32sk');
    BC_DeleteSvc('netsik');
    BC_DeleteSvc('nicsk32');
    BC_DeleteSvc('port135sik');
    BC_DeleteSvc('securentm');
    BC_DeleteSvc('systemntmi');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46884

    3. Повторите логи.
    Последний раз редактировалось Aleksandra; 31.05.2009 в 12:58.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    при выполнении скрипта AVZ вылетает окно
    " Invalid data type for "

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Multur Посмотреть сообщение
    при выполнении скрипта AVZ вылетает окно
    " Invalid data type for "
    Скрипт правильный, проверьте , все ли Вы скопировали...

  6. #5
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    все копирую как у вас и вылетает "Invalid data type for" опять!
    вот что в отчете AVZ:
    Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
    Карантин с использованием прямого чтения - ошибка
    Последний раз редактировалось Multur; 31.05.2009 в 15:47.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Логи после скрипта сделайте.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Да, логи нужны в любом случае. В первый раз Вы ошиблись и вместо лога virusinfo_syscure загрузили карантин. Постарайтесь во второй раз сделать все правильно.
    Наша служба, будто сердце, отдыха не знает никогда.

  9. #8
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28

    повтор

    Сделал всю процедуру по новому..... так как запутался
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для начала удалим пачку.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('I:\Run.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
     DeleteService('ws2_32sik');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('securentm');
     DeleteService('port135sik');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('ksi32sk');
     DeleteService('i386si');
     DeleteService('fips32cup');
     DeleteService('ati8qwxx');
     DeleteService('ati7qwxx');
     DeleteService('ati64si');
     DeleteService('ati4flxx');
     DeleteService('ati2flxx');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
     DeleteService('ati1kqxx');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('stisvcSSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
     DeleteFile('C:\WINDOWS\system32\activedso.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46884
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28

    вот результат

    опять при выполнении скрипта выдает " Invalid data type for "
    прикладываю протокол выполнения скрипта AVZ
    Последний раз редактировалось Rene-gad; 01.06.2009 в 20:06. Причина: Ненужный лог удален

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Multur Посмотреть сообщение
    прикладываю протокол выполнения скрипта AVZ
    Кто Вас об этом просил?
    Сделать заново логи после перезагрузки.
    ???

    Удалите из скрипта PavelA строку
    Код:
    SearchRootkit(true, true);
    и выполните еще раз скрипт.

  13. #12
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    Код:
    Удалите из скрипта PavelA строку SearchRootkit(true, true);
    и выполните еще раз скрипт
    удалил все равно выдает ошибку "Invalid data type for "

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    А Вы НОД выгружаете перед запуском АВЗ?
    Логи по правилам давайте.
    Последний раз редактировалось Rene-gad; 01.06.2009 в 20:47.

  15. #14
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    а как выключить НОД? я выключаю защиту а как выключить его самого не знаю

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Multur Посмотреть сообщение
    а как выключить НОД? я выключаю защиту
    Это как?

  17. #16
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    у меня с право горит НОД но только красный

    Последний результат работы вируса на моем компьютере:
    1. проник на хостинг моего сайта создал какие то атаки за что заблокирован сайт! (блокировка хостинг провайдером)
    2. сейчас на компьютере что то есть в виде вируса но NOD32 его не определяет!
    Последний раз редактировалось Rene-gad; 08.06.2009 в 18:50.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Выполните - если может - скрипт PavelA в безопасном режиме, потом сделайте новые логи в нормальном режиме.

  19. #18
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    перезагрузил в безопасном режиме компьютер, при этом выключив NOD32 совсем выдает туже ошибку!!!!
    может просто выполнить просто еще раз logi

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
    Наша служба, будто сердце, отдыха не знает никогда.

  21. #20
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    28
    при проверке программой GMER светится красной стракой:

    service C:\windows\system32\drivers\vdrv9000.sys(***hidden ***)

    при сохранении лога все зависло с ошибкой файла \$Mft

    сделал лог
    Вложения Вложения
    • Тип файла: log gmer.log (141.0 Кб, 9 просмотров)
    Последний раз редактировалось Rene-gad; 09.06.2009 в 10:01.

  • Уважаемый(ая) Multur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 5 12345 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    2. Поймал Win32/Wigon.CK trojan
      От Anton2008 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 06:49
    3. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    4. Wigon.BK, PSW.OnLineGames.NLI, Wigon.BJ
      От art1k в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01597 seconds with 22 queries