Показано с 1 по 19 из 19.

Win32_TrojanProxy.Xorpix & TrojanDownloader.Wigon (заявка № 18359)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59

    Exclamation Win32_TrojanProxy.Xorpix & TrojanDownloader.Wigon

    помогите пожалуйста эту хрень удалить
    Реально не получается самому это сделать. Сначала думал, что мешает процесс cssrss.exe, но его не нашёл ничем
    Nod32 постоянно находит этих тварей, например в темповой папке или c:\docs & sett\all users\doc..\
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    антивирус регулярно обновляете ?
    пофиксите ....
    Код:
    O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    выполните скрипт ....
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hks53\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys');
     BC_DeleteSvc('Hks53');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
      QuarantineFile('C:\WINDOWS\system32\drivers\tifm21.sys','');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    BC_Importall;
    ExecuteSysClean;
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...
    Последний раз редактировалось V_Bond; 20.02.2008 в 16:51.

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    ошибка синтаксиса в скрипте

    Ошибка: ')' expected в позиции 2:122

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поправил ... лишняя кавычка прицепилась ...

  6. #5
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    виндовс больше не запускается

    пришлось сделать последнюю удачную загрузку

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Hks53', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys');
     BC_DeleteSvc('Hks53');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys');
     BC_Activate;
     RebootWindows(true); 
    end.
    После перезагрузки сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    повторил операцию. после выполнения скрипта выдается несколько ошибок относительно файла cssrss.exe ... больше уже не успел заметить

    комп уходит в ребут, затем BSOD и снова ребут. в безопасном не грузится. помогает, опять же, только последняя удачная загрузка

    новый скрипт щас попробую

    Добавлено через 6 минут

    Новый скрипт сработал. что-то нейтрализовал. комп перезагрузился. при входе в систему выдал поиск нового устройства "Нет данных", драйверов для которого не нашёл.

    запутил все по новой с пункта 8 по 10

    выложить логи снова, в т.ч. и карантин из avz, если будет?
    Последний раз редактировалось Cr00t; 20.02.2008 в 17:09. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Просто логов пока достаточно

  10. #9
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    Новый скан системы, как вы и попросили. Пункт 10

    То, что есть в файл:
    D:\autorun.inf - это рекавери-партишн ноутбука, которая зачем-то отображается в винде (HP фирма ноутбука)
    C:\SWSETUP\ - тут драйвера для него лежат. там вируса быть не может

    На счет MATLAB не не уверен тоже, но хуже не будет, если удалить
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Очень хорошо. Выполните такой скрипт:
    Код:
    begin
    BC_DeleteSvc('Dmv33');
    BC_DeleteSvc('diperto3475-1cdc');
    BC_Activate;
    RebootWindows(true);
    end.
    Вот эти два файла пришлите по правилам:
    C:\Program Files\amsys\mfc42.dll
    D:\autorun.inf

    Для надежности обновите базы AVZ и сделайте полный комплект логов.

    Добавлено через 2 минуты

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Последний раз редактировалось Bratez; 20.02.2008 в 17:46. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    Скрипт выполнил. Windows загрузился без проблем. Запускаю пункты 8-10

    Добавлено через 2 минуты

    Добавил файлы карантина по ссылке: http://virusinfo.info/upload_virus.php?tid=18359

    Файл сохранён как 080220_085451_virus_47bc3f3be48d8.zip
    Размер файла 3967
    MD5 0cce2d85694b41c2366e55a13e141421
    Последний раз редактировалось Cr00t; 20.02.2008 в 17:55. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Program Files\amsys\mfc42.dll -чистый

  14. #13
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    Мне кажется , что папки C:\Program Files\AKL\ и Program Files\amsys - крайне подозрительны

    Я упаковал все их содержимое в архивы и положил сюда: http://www.rapidshare.ru/585890

    Не могли бы по случаю посмотреть?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отправте по ссылке над темой ....

  16. #15
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    Файл сохранён как 080220_092725_akl-amsys_47bc46dd607ad.zip
    Размер файла 53823
    MD5 116644c407ae1d09264b7af2ff9587f8
    пароль virus

  17. #16
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    новые логи:
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в Багдаде все спокойно .... ( влогах ничего подозрительного )
    по поводу отправленных файлов подождем ответ вирлаба ...

  19. #18
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    10
    Вес репутации
    59
    Отлично! Я рад! Спасибо!

    Мне кажется эти вирусы после установки матлаба с диска у человека появились

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Cr00t, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/TrojanDownloader.Wigon.BS
      От krokozabr в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.06.2009, 10:53
    2. Помогите! TrojanDownloader.Wigon.BS
      От toqucaj в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.06.2009, 22:46
    3. Win32/TrojanDownloader.Wigon.BS 2
      От DvsL в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.04.2009, 23:03
    4. Вирус TrojanDownloader.Wigon.BS
      От dila в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.04.2009, 15:33
    5. Win32/TrojanDownloader.Wigon.BS
      От Jylia в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.04.2009, 15:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01312 seconds with 20 queries