wigon.bs + hexzone.al

**revelka** · 01.04.2009, 17:16

Периодически ругался нод32 на файлы wigon.bs под разными именами,например:" Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\nicsk32.sys Win32/TrojanDownloader.Wigon.BS Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\rvlka\LOCALS~1\Temp\BN80.tmp" сейчас перестал.
Теперь находит: "C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll вероятно модифицированный Win32/Hexzone.AL троянская программа Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe"
помогите

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 01.04.2009, 18:17

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll','');
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 QuarantineFile('C:\Documents and Settings\rvlka\rvlka.exe','');
 QuarantineFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 DeleteFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe');
 BC_DeleteFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe');
 DeleteFile('C:\Documents and Settings\rvlka\rvlka.exe');
 BC_DeleteFile('C:\Documents and Settings\rvlka\rvlka.exe');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
 BC_DeleteFile('C:\WINDOWS\system32\digiwet.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll');
 BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll');
 DeleteFile('C:\autorun.inf');
 BC_DeleteFile('C:\autorun.inf');
 DeleteService('port135sik');
 DeleteService('nicsk32');
 DeleteService('netsik');
 DeleteService('ksi32sk');
 DeleteService('i386si');
 DeleteService('fips32cup');
 DeleteService('ati64si');
 DeleteService('amd64si');
 DeleteService('ws2_32sik');
 DeleteService('acpi32');
 DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
Executerepair(8);
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=42986 , как написано в прил.3 правил, и повторите логи.

**revelka** · 01.04.2009, 19:03

карантин залил.

**light59** · 01.04.2009, 19:15

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: Shell=

в AVZ

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин.

**revelka** · 01.04.2009, 19:51

карантин залил, порнуха все еще в эксплорере(

**light59** · 01.04.2009, 19:56

Сейчас исчезнет

В avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll');
 DeleteFile('digiwet.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2 и 3 диагностики повторите.
В покер играете?

**revelka** · 01.04.2009, 20:22

да, бывает играю) через него вири?

**light59** · 01.04.2009, 20:28

Просто спросил

"Пофиксите" в HijackThis

Код:

O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)

Что с порнухой?

всмысле с проблемами?

P.s. Установите IE 8.

**revelka** · 01.04.2009, 20:33

А то я с испугу програмку покерную уже удалил

Все отлично! Спасибо огромное!

п.с. да я firefox юзаю, эксплорер редко

**light59** · 01.04.2009, 20:36

Ну значит установите все обновления безопасности, вышедшие после SP3.
Спасибо нажимают, а не говорят.

**revelka** · 01.04.2009, 20:38

Нажато))

**CyberHelper** · 02.04.2009, 20:38

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 38
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\all users\application data\sowwrqu.dll - Trojan-Ransom.Win32.Hexzone.aij
2. c:\program files\common files\microsoft shared\web folders\uqrwwos.dll - Trojan-Ransom.Win32.Hexzone.aij
3. c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bo
4. c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bn

wigon.bs + hexzone.al (заявка № 42986)

Опции темы

wigon.bs + hexzone.al

Итог лечения

Похожие темы

Win32/Hexzone.AQ

Троян hexzone

схватил троян Hexzone.AD

WIGON, WIGON.S, WIGON.0 - проблема с ними

Win32/Hexzone.AE

Ваши права в разделе