Страница 1 из 5 12345 Последняя
Показано с 1 по 20 из 85.

Поймал Wigon.BS (заявка № 46884)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55

    Thumbs up Поймал Wigon.BS

    стоит NOD32 который показывает постоянные атаки пишет троян Wigon.BS
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 31.05.2009 в 13:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine; 
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Администратор\Администратор.exe');
     QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
     QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     QuarantineFile('C:\WINDOWS\system\netmon.exe','');
     QuarantineFile('I:\Run.exe','');
     DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
     DeleteFile('C:\WINDOWS\system32\activedso.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\Documents and Settings\LocalService\.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
     DeleteFile('C:\WINDOWS\system\netmon.exe');
     DeleteFile('I:\Run.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(13);
    BC_DeleteSvc('stisvcSSDPSRV');
    BC_DeleteSvc('acpi32');
    BC_DeleteSvc('amd64si');
    BC_DeleteSvc('ati1kqxx');
    BC_DeleteSvc('ati2flxx');
    BC_DeleteSvc('ati4flxx');
    BC_DeleteSvc('ati64si');
    BC_DeleteSvc('ati7qwxx');
    BC_DeleteSvc('ati8qwxx');
    BC_DeleteSvc('fips32cup');
    BC_DeleteSvc('i386si');
    BC_DeleteSvc('ksi32sk');
    BC_DeleteSvc('netsik');
    BC_DeleteSvc('nicsk32');
    BC_DeleteSvc('port135sik');
    BC_DeleteSvc('securentm');
    BC_DeleteSvc('systemntmi');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46884

    3. Повторите логи.
    Последний раз редактировалось Aleksandra; 31.05.2009 в 12:58.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    при выполнении скрипта AVZ вылетает окно
    " Invalid data type for "

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Multur Посмотреть сообщение
    при выполнении скрипта AVZ вылетает окно
    " Invalid data type for "
    Скрипт правильный, проверьте , все ли Вы скопировали...

  6. #5
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    все копирую как у вас и вылетает "Invalid data type for" опять!
    вот что в отчете AVZ:
    Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\documents and settings\Администратор\Администратор.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\activedso.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\LocalService\.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\rs32net.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\netmon.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (I:\Run.exe)
    Карантин с использованием прямого чтения - ошибка
    Последний раз редактировалось Multur; 31.05.2009 в 15:47.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Логи после скрипта сделайте.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Да, логи нужны в любом случае. В первый раз Вы ошиблись и вместо лога virusinfo_syscure загрузили карантин. Постарайтесь во второй раз сделать все правильно.
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #8
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55

    повтор

    Сделал всю процедуру по новому..... так как запутался
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Для начала удалим пачку.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('I:\Run.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
     DeleteService('ws2_32sik');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('securentm');
     DeleteService('port135sik');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('ksi32sk');
     DeleteService('i386si');
     DeleteService('fips32cup');
     DeleteService('ati8qwxx');
     DeleteService('ati7qwxx');
     DeleteService('ati64si');
     DeleteService('ati4flxx');
     DeleteService('ati2flxx');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
     DeleteService('ati1kqxx');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('stisvcSSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
     DeleteFile('C:\WINDOWS\system32\activedso.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46884
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55

    вот результат

    опять при выполнении скрипта выдает " Invalid data type for "
    прикладываю протокол выполнения скрипта AVZ
    Последний раз редактировалось Rene-gad; 01.06.2009 в 20:06. Причина: Ненужный лог удален

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Multur Посмотреть сообщение
    прикладываю протокол выполнения скрипта AVZ
    Кто Вас об этом просил?
    Сделать заново логи после перезагрузки.
    ???

    Удалите из скрипта PavelA строку
    Код:
    SearchRootkit(true, true);
    и выполните еще раз скрипт.

  13. #12
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    Код:
    Удалите из скрипта PavelA строку SearchRootkit(true, true);
    и выполните еще раз скрипт
    удалил все равно выдает ошибку "Invalid data type for "

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    А Вы НОД выгружаете перед запуском АВЗ?
    Логи по правилам давайте.
    Последний раз редактировалось Rene-gad; 01.06.2009 в 20:47.

  15. #14
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    а как выключить НОД? я выключаю защиту а как выключить его самого не знаю

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Multur Посмотреть сообщение
    а как выключить НОД? я выключаю защиту
    Это как?

  17. #16
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    у меня с право горит НОД но только красный

    Последний результат работы вируса на моем компьютере:
    1. проник на хостинг моего сайта создал какие то атаки за что заблокирован сайт! (блокировка хостинг провайдером)
    2. сейчас на компьютере что то есть в виде вируса но NOD32 его не определяет!
    Последний раз редактировалось Rene-gad; 08.06.2009 в 18:50.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните - если может - скрипт PavelA в безопасном режиме, потом сделайте новые логи в нормальном режиме.

  19. #18
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    перезагрузил в безопасном режиме компьютер, при этом выключив NOD32 совсем выдает туже ошибку!!!!
    может просто выполнить просто еще раз logi

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
    Сердце решает кого любить... Судьба решает с кем быть...

  21. #20
    Junior Member Репутация
    Регистрация
    21.04.2009
    Сообщений
    51
    Вес репутации
    55
    при проверке программой GMER светится красной стракой:

    service C:\windows\system32\drivers\vdrv9000.sys(***hidden ***)

    при сохранении лога все зависло с ошибкой файла \$Mft

    сделал лог
    Вложения Вложения
    • Тип файла: log gmer.log (141.0 Кб, 9 просмотров)
    Последний раз редактировалось Rene-gad; 09.06.2009 в 10:01.

  • Уважаемый(ая) Multur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 5 12345 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    2. Поймал Win32/Wigon.CK trojan
      От Anton2008 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 06:49
    3. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    4. Wigon.BK, PSW.OnLineGames.NLI, Wigon.BJ
      От art1k в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00203 seconds with 20 queries