Win32/Wigon.Cl trojan

Printable View

23.06.2008, 19:21
ab777

Win32/Wigon.Cl trojan

Снова трояна поймал. Логи прикрепляю.
23.06.2008, 19:52
Rene-gad

[QUOTE]Восстановление системы: включено[/QUOTE]Отключать надо на время лечения.
[QUOTE]база от 20.06.2008[/QUOTE]
Базы обновить надо
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\aelupsvce.dll','');
DeleteFile('C:\Windows\system32\aelupsvce.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки - карантин и логи по правилам в студию
ПС: Где и кем был найден Win32/Wigon.Cl trojan?
23.06.2008, 20:00
ab777

троян найден nod32

восстановление отключаю...
23.06.2008, 20:56
ab777

новые логи

прикреплены
24.06.2008, 00:05
ab777

карантин закачал.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 38 минут[/I][/B][/color][/size]

Все правильно прицепилось/закачалось?

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

?

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

ответьте, плиз, что-нибудь...
24.06.2008, 00:15
Rene-gad

В логах ничего зловредного не видно. Проблема решилась?
Почему не ответили на мой вопрос из сообщения 2?
24.06.2008, 02:08
ab777

Проблема не решилась. Nod кричит на тот же вирус.
На все вопросы вроде ответил. Что именно не понятно?

Вирус ловится, но не удаляется.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 38 минут[/I][/B][/color][/size]

ПОсле перезагрузки отрубилось оформление аэро в висте.

Переписываю, что нод выдает:

Alert details:
:http:wwwwhttpwwwru.ru/loader.exe

Threat:
Win32/Wigon.CI trojan

Comment:
The object contains a threat to your computer

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[SIZE=1]Avz выдает вот такую хрень при проверке:

1.5 Проверка обработчиков IRP
[/SIZE][SIZE=1][COLOR=#ff0000][SIZE=1][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 852231F8 -> перехватчик не определен
[/COLOR][/SIZE][/COLOR][/SIZE][SIZE=1]\FileSystem\ntfs[IRP_MJ_WRITE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 852231F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 80DD51F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 94
Количество загруженных модулей: 713
[/SIZE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[B]Также заблокирован доступ в папку Document and Settings[/B]
24.06.2008, 02:13
pig

А, NOD загрузку зверя из Сети тормознул. Естественно, что удалять нечего - зверь снаружи, туда вам не дотянуться.

Перехваты от Daemon Tools или Алкоголя - не пойму, что у вас стоит, но драйвер соответствующий в памяти висит.
24.06.2008, 02:20
ab777

НЕ уверен. Окно-то не убирается даже когда сеть выключается. Постоянно вылезает.
Плюс заблокировалась системная папка, плюс перехватчики левые в системе остались, плюсь вырубился интерфейс аэро(вернул руками в настройках - сбросился на стандартный стиль). Плюс блокируется установка setup_7.0.0.223_23.06.2008_21-30.exe, плюс блокируется запуск IceSword. Исчез из трея значок сетевого подключения.
Что делать дальше?
24.06.2008, 02:27
pig

По поводу Аэро - в порядке бреда попробуйте восстановить из карантина AVZ C:\Windows\system32\aelupsvce.dll - вдруг как раз от него библиотека.
24.06.2008, 04:03
ab777

Не, аэро на месте... Просто сбросился интерфейс на стандартный.
Перезагрузился. Значок сети вернулся.
Вырубил маршрутизатор. Инет вырубил. Нод молчит.
Начал орать APS - хакер на 80 порту. Попытки идут одна за одной изнутри наружу.
Комп вырублен от инета.
Папка Document and Settings по прежнему заблокирована.

В системе сидит какая-то хрень - абсолютно точно.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Попробую загрузится с реаниматора. Прогнать еще раз антивирусом.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Да, еще вспомнил у нода вдруг отрубилась возможность обновления баз. Типа истек период и т.п. Чего быть не должно.

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

При загрузке с реаниматора (XP) не видит диски на харде ноутбука, на котором установлена виста. На компе с XP все работало. Поэтому прогнать антивирус извне не получается.

Что еще можно сделать?

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Каперский "мини" снес, который так и не установился нормально на висту. Может он и долбился в 80 порт наружу?

Снес НОД поставил вместо него корпоративный SAV...
Может это нод вызывает глюки просроченный и не очень "белый"? Типа защита софта производителем?

Пока тихо...