Поймал Wigon.BS

Printable View

Показывать 40 сообщений этой темы на одной странице

12.06.2009, 13:10
Aleksandra

Все ясно. Выполните первые 2 пункта.

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

Ответ [url]http://virusinfo.info/showpost.php?p=415661&postcount=1465[/url]
12.06.2009, 16:23
Multur

и то это значит?
12.06.2009, 20:35
Rene-gad

[QUOTE=Multur;415787]и то это значит?[/QUOTE]1 файл занесен в базу безопасных.
Вы в безопасном режиме зайти можете?
Если да - попробуйте такой скрипт запустить:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
end.[/CODE]Если сообщения об ошибке не будет - будем ждать карантин и логи после перезагрузки в нормальном режиме
12.06.2009, 21:28
Multur

Вложений: 2

этот скрипт прошел на ура :) только теперь загружается компьютер с третьего раза пока полность его не выключишь!

P/S: кстати сегодня установил после всех манипуляций опять NOD32 так как после действий от сообщения №39 первй пункт я не мог зайти к вам на сайт и на любой сайт с антивирусами!
Так Nod32 нашел еще червя ;) - win32/conficker червь
13.06.2009, 00:47
Rene-gad

[QUOTE=Multur;415884]этот скрипт прошел на ура :) только теперь загружается компьютер с третьего раза пока полность его не выключишь!
[/QUOTE]ОК, тогда по той же схеме: скрипт - в безопасном

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
StopService('ws2_32sik');
StopService('systemntmi');
StopService('stisvcSSDPSRV');
StopService('securentm');
StopService('port135sik');
StopService('nicsk32');
StopService('netsik');
StopService('ksi32sk');
StopService('i386si');
StopService('fips32cup');
StopService('ati8qwxx');
StopService('ati7qwxx');
StopService('ati64si');
StopService('ati4flxx');
StopService('ati2flxx');
StopService('ati1kqxx');
StopService('amd64si');
StopService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
QuarantineFile('C:\WINDOWS\system\netmon.exe','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
DeleteService('stisvcSSDPSRV');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('ati8qwxx');
DeleteService('ati64si');
DeleteService('ati4flxx');
DeleteService('ati2flxx');
DeleteService('ati1kqxx');
DeleteService('amd64si');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.
[/CODE]

перегружаемся или выключаем ПК и логи - в нормальном режиме
13.06.2009, 11:46
Multur

Вложений: 3

скрипт прошол :)
13.06.2009, 12:52
Aleksandra

[QUOTE=Multur;416032]скрипт прошол :)[/QUOTE]
Но к сожалению не дал результата, как первый.

1. Качаем [URL="http://files.avast.com/files/beta/aswar.exe"]avast! antirootkit tool[/URL]
2. Запускаем, производим сканирование
3. После проверки выбираем "Fix now" и rebooting...
4. Повторяем логи и прикрепляем лог aswar.

Если возникнут какие-нибудь проблемы, то пробуем сделать сканирование в безопасном режиме.
13.06.2009, 17:04
Multur

Вложений: 1

сканирование не получилось и в безопасном режиме.
начал ругаться :)
13.06.2009, 19:24
Aleksandra

Попробуйте такой скрипт:

[CODE]begin
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.[/CODE]Если пройдет, то повторите лог [B]virusinfo_syscheck.[/B]
13.06.2009, 19:47
Rene-gad

А потом еще так:
1. Скачать архив: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку [B]Scan for Rootkits[/B]
6. Скопировать скрипт в окно:
[CODE]files to delete:
C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe
[/CODE]
7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
14.06.2009, 11:06
Multur

Вложений: 1

[QUOTE=Aleksandra;416213]Попробуйте такой скрипт:
...Если пройдет, то повторите лог [B]virusinfo_syscheck.[/B][/QUOTE]

скрипт прошел :)
14.06.2009, 11:13
Bratez

[QUOTE=Multur;416434]скрипт прошел :)[/QUOTE]
Да только в логе все по-прежнему.
Выполняйте совет [B]Rene-gad[/B]'a.
14.06.2009, 11:14
Multur

Вложений: 1

этот скрипт тоже прошел
14.06.2009, 11:18
Rene-gad

[QUOTE=Multur;416441]этот скрипт тоже прошел[/QUOTE]Вы Avenger в безопасном режиме запускали?
14.06.2009, 11:19
Multur

нет
14.06.2009, 11:30
Aleksandra

Как у Вас обстоят дела с трафиком?
14.06.2009, 11:33
Multur

получено 2 000 000 байт
отправлено 800 000 байт
открыто только это окно!
14.06.2009, 11:37
Aleksandra

Я сейчас не про это. :) У меня осталось пару идей. Если есть возможность, то скачайте сканер VBA32. Ссылка у меня в подписи. Если да, то напишу что делать дальше.
14.06.2009, 11:42
Multur

скачиваю
14.06.2009, 12:36
Aleksandra

Теперь:

1. Отключите восстановление системы и антивирус.
2. Распакуйте сканер на рабочий стол (должна появится папка Vba32Check).
3. Пуск - Выполнить, набрать [I]cmd[/I], нажать ВВОД
4. Перейдите в нужную папку (можете скопировать строку):
[CODE]cd %userprofile%\desktop\vba32check\vba32w[/CODE]
5. Скопируйте [CODE]vba32w /mr=2/as=2/bt-/af/rw/sfx/ar/ha=2/fc/fd/ic/nc/r="c:\vba32.rpt"/qi+"c:\ainfected"/qs+"c:\asuspected" *:[/CODE]
и нажмите Enter.
6. По окончанию проверки приложите файл c:\vba32.rpt к этой теме.
14.06.2009, 20:02
Multur

Вложений: 1

Пожалуйста :)
14.06.2009, 20:19
Aleksandra

Ну хоть что-то удалилось. :) Теперь папки c:\ainfected и c:\asuspected и все их содержимое заархивируйте в архив с паролем virus и пришлите нам по ссылке вверху темы. После повторите лог [B]virusinfo_syscheck.[/B]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Сканер не удаляйте! Он обновляемый и может понадобиться в будущем. Для обновления достаточно запустить батник update.bat.
14.06.2009, 21:43
Multur

Вложений: 1

1 файл ainfected.zip:

Файл сохранён как 090614_213658_ainfected_4a35353acdd9e.zip
Размер файла 4351992
MD5 8cfd6121f20db7967f8f9513a609aa74

2 файл asuspected.zip:

Файл сохранён как 090614_213945_asuspected_4a3535e15db6b.zip
Размер файла 5959709
MD5 4a97f97275b8fc95497356b9558cf415
15.06.2009, 00:08
Rene-gad

[QUOTE=Multur;416806]1 файл ainfected.zip:[/QUOTE]
Ответ ВЛ
[QUOTE]FighterFX.exe_, FighterFX.exe_.unp, file_id.diz, FP_AX_CAB_INSTALLER.exe_, POST.exe_, sd4hide.exe_, sd4hide11-skl.zip.file_id.diz, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe.unp, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe_, sd4hide11-skl.zip.skull.nfo, skull.nfo, wab.exe_

Вредоносный код в файлах не обнаружен.
[/QUOTE]
15.06.2009, 09:23
Multur

то есть компьютер чист?
а что на счет iframe который ворует пароли по FTP это тоже вылечили? у меня сейчас заблокированы все мои сайты все эти дни что мы возимся с моим компьютером :(
15.06.2009, 10:26
Rene-gad

[QUOTE=Multur;417028]то есть компьютер чист?[/QUOTE]Кто это Вам сказал? :O [I]В присланных файлах ничего не обнаружено[/I] и [I]компьютер чист[/I] - это не одно и тоже.
15.06.2009, 12:02
Multur

тогда какие действия будут следующими?
15.06.2009, 17:56
Aleksandra

Идеи еще будут. Подождите до завтра.
16.06.2009, 11:27
Rene-gad

Скачайте IceSword, удалите с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL] файлы:
[CODE]C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe
[/CODE]
конечно при условии, что Вы их найдете... :>
Потом сделайте лог syscheck.
17.06.2009, 15:04
Multur

ни одного такого файла нет :(
18.06.2009, 13:23
Aleksandra

1. Деисталлируйте с компьютера все эмуляторы дисков.
2. Выполните [url]http://virusinfo.info/showthread.php?t=10025[/url]

[B][COLOR="Red"]Скачайте AVZ у меня в подписи и далее работайте только с ним![/COLOR][/B]

3. Отключите востановление системы и антивирус.
4. Попробуйте выполнить скрипт:

[CODE]begin
[COLOR="Red"]SearchRootkit(true, true);[/COLOR]
[COLOR="#ffff00"]SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\vde0ntqw.sys');
DeleteFile('C:\Temp\aswArKrn.sys');[/COLOR]
[COLOR="#00ff00"]DeleteFile('C:\WINDOWS\system32\activedso.exe');[/COLOR]
[COLOR="Blue"]DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');[/COLOR]
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('C:\WINDOWS\system32\hidec');
[COLOR="#ffff00"]BC_ImportDeletedList;[/COLOR]
ExecuteSysClean;
[COLOR="#ffff00"]BC_DeleteSvc('vde0ntqw');
BC_DeleteSvc('aswArKrn');[/COLOR]
[COLOR="Lime"]BC_DeleteSvc('stisvcSSDPSRV');[/COLOR]
[COLOR="Blue"]BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');[/COLOR]
[COLOR="Yellow"]BC_Activate;[/COLOR]
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Если скрипт не пройдет, то поочередно удаляйте из него строчки:

1) Красные.
2) Синие.
3) Зеленые.
4) Желтые.

и пробуйте еще раз выполнить скрипт.

5. Независимо от результата повторите лог [B]virusinfo_syscheck.[/B]

[B]p. s.[/B] Я Вас не бросаю. Будем пробовать различные варианты. Пока я не могла ответить, все мои идеи воплощал в жизнь мой друг и коллега [B]Rene-gad.[/B] Ему персональное спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Если ничего не выйдет, то попробуйте проделать все в безопасном режиме. Заодно, запомните скрипт который пройдет без ошибки. Это важно.
18.06.2009, 14:14
Multur

Вложений: 1

Ураааа, скрипт прошел без ошибок :)
18.06.2009, 20:15
Rene-gad

Тогда запустите АВЗ/Файл/Восстановление системы, отметтье только п.13 и запустите.
Перегрузитесь и сделайте полный комплект логов в соответствии с правилами :)
19.06.2009, 16:29
Multur

Вложений: 3

все выполнил
19.06.2009, 17:56
Rene-gad

Ничего подозрительного не видно.
Жалобы есть?
19.06.2009, 18:05
Multur

ну пока нет нужно хостинг включить :)
кстати по поводу фтп ни чего не нужно делать?
19.06.2009, 18:12
Rene-gad

[QUOTE=Multur;419672]ну пока нет нужно хостинг включить :)[/QUOTE]Флаг в руки... 8)
[QUOTE=Multur;419672]по поводу фтп ничего не нужно делать?[/QUOTE]в смысле?
19.06.2009, 18:24
Multur

что то ворует пароли от ftp и прописывает iframe
19.06.2009, 18:29
Rene-gad

[QUOTE=Multur;419682]что то ворует пароли от ftp и прописывает iframe[/QUOTE]Это и сейчас продолжается? Вы это точно установили? Или это предположения?
19.06.2009, 18:39
Multur

нет это было в процесе ваших трудов над моим компьютером, я все исправил но проникновение было опять, после чего я заблокировал аккаунт всех сайтов.
И сейчас боюсь что может повториться

Показывать 40 сообщений этой темы на одной странице