червь Win32/Wigon.Z

Здравствуйте, Хелперы!
У меня это домашний компьютер. NOD32 некоторое время назад определил вышеуказанный вирус и сообщил, что удалил его.
- Win32/Wigon.Z (находил имя в папке c:\Document and Setting\...\Local Setting\Temp\418892.exe, либо 407405.exe, либо аналогичный файл.exe; писал, что создан приложением C:\Program Files\Internet Explorer\IExplore.exe).
Но после перезагрузки сообщения о найденном вирусае повторялось.
Помогите вылечиться от этого вируса.

прочтите и выполните правила [url]http://virusinfo.info/showthread.php?t=1235[/url]

Вот

Пофиксите ...
[code]
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
[/code]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...

Что значит "Пофиксите" я не понимаю

[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить с помощью HijackThis"?[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Как выполнить скрипт в AVZ[/URL]

Вот этого не было написано "O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe" в проге HijackThis.
Пароль virus.

Теперь вот это надо профиксить

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

еще логи AVZ нужны.

Пофиксил "O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe" надо присылать ещё что-нибудь ?

Да уже сказали что, карантин по ссылке в шапке : [url]http://virusinfo.info/upload_virus.php?tid=13132[/url], новые логи AVZ к следующему сообщению прикрепить, неужели не понятно ?

Неполучается вложить файлы [B]virusinfo_syscheck.zip, virusinfo_syscure.zip пишет что эти файлы уже вложены.
Выслал карантин по ссылке.

Удали предыд. логи.

Я их удалил но невкладываются пишет "Вы уже вложили этот файл в теме"

Посмотри через "Мой кабинет" - там есть список загруженных файлов. М.б. там осталось.
Грузи через [url]http://virusinfo.info/upload_virus.php?tid=13132[/url]

В моем кабинете нет вложенных файлов, мне грузить логи по этот ссылке [url]http://virusinfo.info/upload_virus.php?tid=13132[/url] ?

Грузи. Будем смотреть и переложим сюда.

Закачал

Логов не вижу. Карантин сейчас посмотрю.

А я их нашёл ;) Теперь проблемы не должно быть ;)

То есть я удалил все вирусы ?

[quote=pahtackor;141500]То есть я удалил все вирусы ?[/quote]Я не про это, я про то что логи старые удалил и теперь можно загрузить новые логи в тему ,дабы удалить все оставшиеся вирусы.

Вот логи

Вот такой интересный итог:

Файл avz00004.dta(C:\WINDOWS\system32\sysfldr.dll) получен 2007.10.12 11:03:11 (CET)Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.12.1 2007.10.12 -
AntiVir 7.6.0.20 2007.10.12 HEUR/Malware
Authentium 4.93.8 2007.10.12 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.12 Generic.Malware.SFdld.2452B993
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.12 -
eSafe 7.0.15.0 2007.10.10 suspicious Trojan/Worm
eTrust-Vet 31.2.5205 2007.10.12 Win32/DlWreck!generic
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.12 -
Fortinet 3.11.0.0 2007.10.12 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.12 -
Ikarus T3.1.1.12 2007.10.12 Trojan-Proxy.Win32.Webber.U
Kaspersky 7.0.0.125 2007.10.12 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.12 -
NOD32v2 2587 2007.10.12 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 Suspicious file
Prevx1 V2 2007.10.12 Heuristic: Suspicious File With Bad Parent Associations
Rising 19.44.42.00 2007.10.12 -
Sophos 4.22.0 2007.10.12 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.12 -
TheHacker 6.2.8.087 2007.10.12 -
VBA32 3.12.2.4 2007.10.11 suspected of MalwareScope.Trojan-PSW.Pinch.1 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.12 Heuristic.Malware

Дополнительная информация
File size: 12800 bytes
MD5: fa02e1fdcd3458aac505af6346813250
SHA1: ff55aa84ebd7e1a1517d6aa79da71b768227db39
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: [url]http://fileinfo.prevx.com/fileinfo.asp?PX5=6743B32100047D673276000021125A0052140B6B[/url]

Скорее всего реакция антивирусов на упаковщик.

И что мне делать надо?

[b]Trojan-Proxy.Win32.Agent.pr[/b] - вот так будет называться по Касперскому.
Скрипт напишу. Выполнять в защищенном режиме.
Это первый:
[CODE]begin
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/CODE]

затем второй:[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
BC_DeleteFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После этого установить AVZPM, перезагрузиться и сделать снова логи.

Всмысле отправить те которые сейчас есть или заново сделать проверку скриптов?

Сначала выполнить скрипты в том режиме, что я написал (Safe Mode).
Потом включить AVZPM, перезагрузиться.
Сделать новые логи и прикрепить их сюда.

Вот.

логи я так понял старые .... полученные до скрипта ... ?

Да вроде нет

выполните скрипт..
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
[/code]
затем второй ...
[code]
begin
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...

Вот логи.

Что-то вы путаете с логами.

syscure:
[quote]Сканирование запущено в 12.10.2007 11:36:07[/quote]
syscheck:
[quote]Сканирование запущено в 12.10.2007 11:51:31[/quote]
HijackThis:
[quote]Scan saved at 20:27:52, on 12.10.2007[/quote]

Вроде всё по инструкции делаю.

1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM

- просил же "установить драйвер мониторинга AVZPM"

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sysfldr.dll - [B]Trojan-Proxy.Win32.Agent.pr[/B] (DrWEB: Trojan.Proxy.2358)[/LIST][/LIST]