-
Вложений: 3
Троян Wigon.GM
Добрый день. Вчера на компе появился троян Wigon.GM, после каждого подключения к интернету (перезагрузки) NOD находил все новые файлы (итого 10 шт. на данный момент) и помещел их в карантин, но не удалял.
Сделал все по правилам. В процессе работы AVZ выскакивала ошибка ("Access violation at adress 00402254 in module 'avz.exe'. Write at adress 4643535D"), так к слову. И еще, в процессе выполнения п. 8, 10, 12 ekrn.exe (NOD'овский файл)отключить не удалось :( Пока писал сообщение NOD еще 2 таких же трояна нашел, а также забилась вся оперативка и виртуалка... Помогите пожалуйста!
Заранее благодарен.
-
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - AppInit_DLLs: E ‘|N ‘|sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sockspy.dll','');
DeleteService('ati6wbxx');
DeleteService('ati6swxx');
DeleteService('ati6ptxx');
DeleteService('ati6osxx');
DeleteService('ati6fkxx');
DeleteService('ati5xcxx');
DeleteService('ati5gkxx');
DeleteService('ati3fjxx');
DeleteService('ati2fjxx');
DeleteService('ati2aexx');
DeleteService('ati1dhxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1dhxx.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1dhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2aexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2fjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3fjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5gkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5rvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6ptxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6swxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6wbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7hlxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7osxx.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
-
Вложений: 3
Спасибо. Новые трояны не появляются, что самое главное (ошибки тоже не выскакивают, память в норме), только у NOD'a в карантине по-прежнему теже файлы. При фиксе Hijackthis была следующая ошибка:
"An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: E ‘|N ‘|sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll)
Error #5 - Invalid procedure call or argument
Please email me at [EMAIL="[email protected]"][email protected][/EMAIL], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.13
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan. "
Не сообразил вовремя и профиксил в старой версии 1.99.1.... Надеюсь это не навредило. + после запуска указанного скрипта в AVZ был следующий эффект - автоматический перезагрузки не было , просто, исчезли все ярлыки и функции рабочего стола, осталась только картинка... Я подождал мин 5-7 и , ввиду того , что комп не подавал признаков жизни сделал резет....
Подскажите пожалуйста, что дальше делать
-
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati8yexx');
DeleteService('ati8osxx');
DeleteService('ati3otxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8osxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8yexx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati8yexx');
BC_DeleteSvc('ati8osxx');
BC_DeleteSvc('ati3otxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 диагностики...
-
Вложений: 2
Скрипт сделал, на этот раз комп нормально перезагрузился. Прикрепляю новый лог virusinfo_syscheck.zip.
Немного напрягает тот факт, что нод по-прежнему, хранит записи о карантине этих файлов, хотя физического их наличия в указанном программой месте я не обнаружил (это под администратором, а под ограниченной записью пишет, что все удалено). + 7 процессов svchost.exe при просмотре диспетчера задач (4 system, 2 network service, 1 local service)..
-
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\rs32net.exe - [B]Trojan.Win32.Inject.kwi[/B] (DrWEB: BackDoor.Bulknet.256)[/LIST][/LIST]
Page generated in 0.00501 seconds with 10 queries