Показано с 1 по 11 из 11.

Win32/Wigon.LV (заявка № 51521)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27

    Exclamation Win32/Wigon.LV

    Здравствуйте.

    На компьютере установлен и постоянно обновляется антивирус NOD32.
    Антивирус уже третий день ругается на вирус в файле %WINDOWS%/system32/drivers/ntfs.sys .
    Естественно, ничего сделать не может. Чем больше времени проходит, тем больше ругани появляется на разные файлы.
    При запуске проверки памяти компьютера программой CureIt от DrWeb система выпадает в синий экран. На синем экране постоянно фигурирует разный файл, имя которого явно сгенерировано рандомно.

    Помогите, пожалуйста, вылечиться.

    P.S. virusinfo_cure.zip пуст.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Диск с дистрибутивом имеется?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\wpv981249321620.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv981249321620.exe');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27
    Проблема осталась.
    ntfs.sys, figaro.sys, braviax.exe всплывают в уведомлениях NOD32.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Карантин где?

    Файл C:\WINDOWS\system32\Drivers\Ntfs.sys нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    -На приглашение введите строку:
    Код:
    expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва, где лежит дистрибутив.
    Переписывание подтвердите.
    -Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    -Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    Пока это не сделать, лечиться дальше бесполезно. Именно этот файл загружает Вам старину Braviax'a
    В этих логах figaro.sys, braviax.exe не видны пока
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27
    Спасибо. KNOPPIX помог.
    Уже CureIt вышел на тропу войны и никто не осмеливается при этом крэшнуть систему.
    После работы CureIt перезагрузиться и снова запустить на выполнение скрипт в AVZ ?

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Нет, сделать новый комплект логов
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27
    Готово.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по п. 2 и 3 диагностики
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27
    А вот нету C:\WINDOWS\system32\regedit.exe .
    Не знаю на каком этапе он пропал.
    При этом в реестре, в автозагрузке, где его находил Hijackthis, его тоже нет, зато был параметр braviax с пустым значением.
    Есть:
    C:\WINDOWS\system32\regedt32.exe (3584 bytes)
    C:\WINDOWS\regedit.exe (148992 bytes)
    Вроде как размер соответствует оригиналу.

    Вот новый лог от Hijackthis:
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Цитата Сообщение от Yarik Посмотреть сообщение
    C:\WINDOWS\system32\regedt32.exe (3584 bytes)
    C:\WINDOWS\regedit.exe (148992 bytes)
    Это нормальные системные файлы

    По предоставленному логу ничего плохого
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    27
    Огромное спасибо за помощь!

  • Уважаемый(ая) Yarik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 13:52
    2. Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS
      От tov-serjant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.06.2009, 08:54
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. Win32/Wigon.GM и Win32/Wigon.BY как вылечить?
      От Evgenich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:54
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00684 seconds with 20 queries