Помогите стправиться с Wigon.CK

Printable View

04.08.2008, 18:31
Alex58

Вложений: 3

Помогите стправиться с Wigon.CK

При входе в Интернет NOD32 обнаруживает троян:
Файл: C:\WINDOWS\System32\drivers\Winua72.sys (последний файл каждый раз меняется)
Вирус: win32/Wigon.CK троян

Заранее спасибо.
04.08.2008, 18:51
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\mrinfo.dll (file missing)
O4 - HKLM\..\Run: [splant] C:\WINDOWS\System32\splant.exe
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe" /r
OO4 - HKCU\..\Run: [Firewall auto setup] C:\WINDOWS\system32\wpx9.cpx
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - C:\WINDOWS\System32\wm5dap.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
DeleteService('W32Timelanmanserver');
DeleteService('TlntSvrwinmgmt');
DeleteService('TlntSvrdmadmin');
DeleteService('RSVPSENS');
DeleteService('RpcSsmnmsrvcRasAuto');
DeleteService('RDSessMgrmnmsrvc');
DeleteService('NtmsSvcseclogon');
DeleteService('msscenter');
DeleteService('mnmsrvcRasAuto');
DeleteService('FastUserSwitchingCompatibilityW32Timelanmanserver');
DeleteService('dmadminseclogon');
DeleteService('BITSSpooler');
DeleteService('BITSRasAuto');
DeleteService('Rxc15');
DeleteService('Winwc50');
DeleteService('Winsy84');
DeleteService('Winpv15');
DeleteService('Winpu61');
DeleteService('Winlr83');
DeleteService('Winin50');
DeleteService('Winhn15');
DeleteService('Winfk04');
DeleteService('Windi72');
DeleteService('Winag04');
QuarantineFile('C:\Documents and Settings\ADMIN\Local Settings\Temp\winnmKRr1ds4AqC.exe','');
QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxc15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag04.sys','');
QuarantineFile('C:\WINDOWS\System32\wm5dap.dll','');
QuarantineFile('c:\windows\system32\mrinfo.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\loader.exe','');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
DeleteFile('c:\docume~1\admin\locals~1\temp\loader.exe');
DeleteFile('c:\windows\system32\mrinfo.dll');
DeleteFile('C:\WINDOWS\System32\wm5dap.dll');
DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxc15.sys');
DeleteFile('C:\WINDOWS\System32\msscntr32.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\ADMIN\Local Settings\Temp\winnmKRr1ds4AqC.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_Activate;
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

ПС: Папе Вашему скажите, что систему обновлять нужно
[CODE]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/CODE]
а то у Вас там скоро и крокодилы заведутся.
04.08.2008, 21:55
Alex58

Вложений: 3

Вроде бы все сделал и файлы карантина отослал. Спасибо за внимание
04.08.2008, 22:07
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
DeleteService('Winua72');
DeleteService('W32Timelanmanserver');
DeleteService('TlntSvrwinmgmt');
DeleteService('TlntSvrdmadmin');
DeleteService('RSVPSENS');
DeleteService('RpcSsmnmsrvcRasAuto');
DeleteService('RDSessMgrmnmsrvc');
DeleteService('NtmsSvcseclogon');
DeleteService('mnmsrvcRasAuto');
DeleteService('FastUserSwitchingCompatibilityW32Timelanmanserver');
DeleteService('dmadminseclogon');
DeleteService('BITSSpooler');
DeleteService('BITSRasAutoRasMan');
DeleteService('BITSRasAuto');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua72.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winua72');
BC_DeleteSvc('W32Timelanmanserver');
BC_DeleteSvc('TlntSvrwinmgmt');
BC_DeleteSvc('TlntSvrdmadmin');
BC_DeleteSvc('RSVPSENS');
BC_DeleteSvc('RpcSsmnmsrvcRasAuto');
BC_DeleteSvc('RDSessMgrmnmsrvc');
BC_DeleteSvc('NtmsSvcseclogon');
BC_DeleteSvc('BITSSpooler');
BC_DeleteSvc('BITSRasAutoRasMan');
BC_DeleteSvc('BITSRasAuto');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
05.08.2008, 00:13
Alex58

Вложений: 3

Скрипт запустилю Логи прикрерляю
05.08.2008, 11:10
Alex58

Вчера вечером отправил логи. Какие результаты? Спасибо.
05.08.2008, 11:27
Rene-gad

[QUOTE=Alex58;263514]Вчера вечером отправил логи. .[/QUOTE]Вы спали ночью? Мы тоже :)

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dmadminseclogon');
DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('dmadminseclogon');
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_Activate;
executerepair(6);
executerepair(9);
executerepair(17);
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин, повторите логи
05.08.2008, 13:06
Alex58

Вложений: 3

Скрипт выполннил.
NOD уже ничего не показывает
05.08.2008, 13:29
Rene-gad

В логах чисто.
[COLOR="Red"]Систему срочно пропатчить[/COLOR] - установить в оффлайне [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0136e5f8-1684-4202-b2d0-c6a43430f12a"]Сервис Пак 1[/URL] или [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a"]2[/URL], потом Сервис Пак 3 (его можно скачать по ссылке в моей подписи).
При установке сервиспаков антивирус отключить!!!
После установки посетить сервер обновлений и установить все важные обновления: [url]www.windowsupdate.com[/url]
05.08.2008, 13:42
Alex58

Спасибо.
22.02.2009, 06:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\local settings\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Mutant.ask[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\documents and settings\\admin\\local settings\\temp\\winnmkrr1ds4aqc.exe - [B]Email-Worm.Win32.Bagle.aav[/B] (DrWEB: Trojan.Starter.551)[*] c:\\docume~1\\admin\\locals~1\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Mutant.ask[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\windows\\iexplorer.exe - [B]Trojan.Win32.Buzus.ogp[/B] (DrWEB: Trojan.MulDrop.18267)[*] c:\\windows\\system32\\~.exe - [B]Email-Worm.Win32.Bagle.aav[/B] (DrWEB: Trojan.Starter.551)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan.Win32.Pakes.jwi[/B] (DrWEB: Trojan.PWS.Lich)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aub[/B] (DrWEB: BackDoor.Bulknet.225)[*] c:\\windows\\system32\\wm5dap.dll - [B]Email-Worm.Win32.Bagle.aav[/B] (DrWEB: Trojan.PWS.Wow.1067)[*] c:\\windows\\twain_8.dll - [B]not-a-virus:AdWare.Win32.XmlMimeFilter.k[/B] (DrWEB: Adware.XMLMime.1)[/LIST][/LIST]