Поймал Wigon.BS

Printable View

Показывать 40 сообщений этой темы на одной странице

31.05.2009, 12:39
Multur

Вложений: 2

Поймал Wigon.BS

стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
31.05.2009, 12:44
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Администратор\Администратор.exe');
QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system\netmon.exe','');
QuarantineFile('I:\Run.exe','');
DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('I:\Run.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
BC_DeleteSvc('stisvcSSDPSRV');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('i386si');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('netsik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('securentm');
BC_DeleteSvc('systemntmi');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=46884[/url]

3. Повторите логи.
31.05.2009, 13:04
Multur

при выполнении скрипта AVZ вылетает окно
" Invalid data type for "
31.05.2009, 13:28
Rene-gad

[QUOTE=Multur;409659]при выполнении скрипта AVZ вылетает окно
" Invalid data type for "[/QUOTE]Скрипт правильный, проверьте , все ли Вы скопировали...
31.05.2009, 15:32
Multur

все копирую как у вас и вылетает "Invalid data type for" опять!
вот что в отчете AVZ:
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
Карантин с использованием прямого чтения - ошибка
31.05.2009, 17:46
Rene-gad

Логи после скрипта сделайте.
31.05.2009, 18:45
Aleksandra

Да, логи нужны в любом случае. В первый раз Вы ошиблись и вместо лога [B]virusinfo_syscure[/B] загрузили карантин. Постарайтесь во второй раз сделать все правильно.
01.06.2009, 15:22
Multur

Вложений: 3

повтор

Сделал всю процедуру по новому..... так как запутался :)
01.06.2009, 16:04
PavelA

Для начала удалим пачку.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\Run.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('ati8qwxx');
DeleteService('ati7qwxx');
DeleteService('ati64si');
DeleteService('ati4flxx');
DeleteService('ati2flxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
DeleteService('ati1kqxx');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('stisvcSSDPSRV');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46884[/url]
01.06.2009, 19:50
Multur

вот результат

опять при выполнении скрипта выдает " Invalid data type for "
прикладываю протокол выполнения скрипта AVZ
01.06.2009, 20:06
Rene-gad

[QUOTE=Multur;410237]
прикладываю протокол выполнения скрипта AVZ[/QUOTE] Кто Вас об этом просил?
[QUOTE]Сделать заново логи после перезагрузки.[/QUOTE] ???

Удалите из скрипта PavelA строку
[CODE]SearchRootkit(true, true);[/CODE]
и выполните еще раз скрипт.
01.06.2009, 20:31
Multur

[CODE]Удалите из скрипта PavelA строку SearchRootkit(true, true);
и выполните еще раз скрипт[/CODE]

удалил все равно выдает ошибку "Invalid data type for "
01.06.2009, 20:42
Rene-gad

А Вы НОД выгружаете перед запуском АВЗ?
Логи по правилам давайте.
01.06.2009, 20:47
Multur

а как выключить НОД? я выключаю защиту а как выключить его самого не знаю
01.06.2009, 20:48
Rene-gad

[QUOTE=Multur;410272]а как выключить НОД? я выключаю защиту [/QUOTE]Это как?
01.06.2009, 21:04
Multur

у меня с право горит НОД но только красный

Последний результат работы вируса на моем компьютере:
1. проник на хостинг моего сайта создал какие то атаки за что заблокирован сайт! (блокировка хостинг провайдером)
2. сейчас на компьютере что то есть в виде вируса но NOD32 его не определяет!
08.06.2009, 18:52
Rene-gad

Выполните - если может - скрипт PavelA в безопасном режиме, потом сделайте новые логи в нормальном режиме.
08.06.2009, 19:05
Multur

перезагрузил в безопасном режиме компьютер, при этом выключив NOD32 совсем выдает туже ошибку!!!!
может просто выполнить просто еще раз logi
08.06.2009, 19:27
Aleksandra

Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
09.06.2009, 00:15
Multur

Вложений: 1

при проверке программой GMER светится красной стракой:

service C:\windows\system32\drivers\vdrv9000.sys(***hidden***)

при сохранении лога все зависло с ошибкой файла \$Mft

сделал лог
09.06.2009, 10:00
PavelA

Выполнить:
[CODE]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\vdrv9000.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]

прислать карантин.
З.Ы. Если влез раньше Александры, то извиняюсь.
09.06.2009, 10:04
Multur

вылезла ошибка expected в позиции 8:1
09.06.2009, 10:07
Rene-gad

[QUOTE=Multur;413924]вылезла ошибка expected в позиции 8:1[/QUOTE]Вы точку после [I]end[/I] не скопировали.
09.06.2009, 10:08
PavelA

Поправил скрипт.
Спс Александре за замечание, пока будем только карантинить.
09.06.2009, 11:10
Multur

карантин отправил
09.06.2009, 11:15
PavelA

Повтори мой скрипт еще разок, что-то с утра строчки не туда вставляю. :(
09.06.2009, 12:21
Multur

повторил и что теперь? - карантин пуст!
только вылетает ошибка 0x6fe216e2, зависает Explorer и виснет сеть :(

[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]

после всех процедур наблюдается такое:
1. вырубает explorer остается в сети и что то качает!
2. NOD32 обнаружил 09.06.2009 11:45:53 Win32/TrojanDownloader.Bredolab.AA trojan connection terminated - quarantined MICROSOF-AA56B5\Администратор Threat was detected upon access to web by the application: C:\Program Files\Opera 10 Preview\opera.exe.
Что делать?
09.06.2009, 15:07
Rene-gad

[QUOTE=Multur;413970]
Что делать?[/QUOTE]
Уже неделю воюем.. Я бы за это время 10 раз переустановил систему со всеми прибамбасами...
Сделайте логи special avz (ссылка в подписи).
09.06.2009, 15:49
Multur

Вложений: 1

с удовольствием все снес бы к чертям! но я не востановлю некоторые програмы а они для работы! :(
09.06.2009, 19:35
thyrex

Деинсталлируйте Virtual CD 9 и попробуйте выполнить скрипт из [B]сообщения №9[/B]
10.06.2009, 00:55
Multur

Удалил Virtual CD 9;
при выполнении скрипта из сообщения №9 вылетает таже ошибка Invalid data type for
10.06.2009, 07:08
Aleksandra

Что-то мешает выполнению скрипта, а вот что пока понять не могу. Тему Вашу мы добьем. Это уже дело принципа. :)

Проверку компьютера с помощью AVPTool делали? Если нет, то очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью [URL="http://downloads.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и повторите логи...
10.06.2009, 23:20
Multur

Вложений: 1

сделал проверку через Tools нашл 3 вируса есть отчет по работе. приложить его?
10.06.2009, 23:34
thyrex

Попробуйте выполнить скрипт из [B]сообщения №9[/B] в AVP Tool
11.06.2009, 12:05
Multur

Вложений: 3

в AVP TOOL скрипт не выполняется пишет - Сбой задачи "AVZ_scan"
11.06.2009, 12:17
thyrex

А если так

Пофиксить в HiJack
[code] O4 - HKLM\..\Run: [DriverCD] I:\Run.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [Администратор] C:\Documents and Settings\Администратор\Администратор.exe /i [/code]Перезагрузиться

Попытаться выполнить скрипт из сообщения №9
11.06.2009, 20:27
Multur

профиксил... теже ошибки что в AVZ что в AVP TOOL
p/s: постоянно вылетает ошика svchost.exe к памяти и виснет

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 20 минут[/I][/B][/color][/size]

что, можно компьютер выкинуть?
11.06.2009, 20:30
Rene-gad

[QUOTE=Multur;415174]что, можно компьютер выкинуть?[/QUOTE]Вы исключили такую возможность в Вашем сообщении #29
12.06.2009, 09:46
Aleksandra

1. Временно деинсталлируйте антивирус и эмулятор дисков.
2. Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

Еще важно знать, что у Вас левая сборка Windows или на машине побывал файловый вирус?
12.06.2009, 12:18
Multur

[QUOTE=Aleksandra;415583]
Еще важно знать, что у Вас левая сборка Windows или на машине побывал файловый вирус?[/QUOTE]
на счет вируса я откуда знаю какой он был :)
а на счет Windows друзья дали диск называя его сборки "Зверь"

Показывать 40 сообщений этой темы на одной странице