Показано с 1 по 13 из 13.

Win32Wigon.AX троян (заявка № 19174)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40

    Thumbs up Win32Wigon.AX троян

    Приветствую!
    Однажды просматривая лог вирусов NOD32, я обнаружил, запись: ip6fw.sys - win32Wigon.Ax троян.
    Сканирование системы при помощи AVZ результатов не принесло. AVZ почему-то ни как не реагировал на ip6fw.sys
    NOD32 пытался удалить этот самый ip6fw.sys, но у него ничего не получалось.
    Решил удалить ip6fw.sys вручную, но как позже понял что, зря это сделал. Винда начала ругаться, что типа, "Вы удалили
    файлы, которые необходимы для правильной работы системы, вставьте диск Windows XP Prof SP2", ну я и вставил. Потом
    обнаружил что ip6fw.sys появился в папке system32 после того как я вставил диск.
    Начал смотреть и разбираться вручную. Открыл \system32\ и там обнаружил несколько новых dll и файл wpa.dbl а в папке
    C:\Temp - несколько exe'шников, на которые ни NOD32, ни AVZ никак не реагировали.
    Решил бороться с этим всем - самостоятельно, и зря. Очистил папку Temp, удалил wpa.dbl и несколько dll из system32. На
    этом вроде все закончилось, и некоторое время никаких подозрительных файлов в системных папках компьютера не
    появлялось. Однако спустя некоторое время все повторилось снова, те же *.exe в Temp'e *.dll и wpa.dbl в system32.
    Еще обнаружил интересную папку по адресу: C:\WINDOWS\system32\config\systemprofile там находится Temporary Internet
    Files, я могу ошибаться, но этой временной папки интернета там не должно быть. Обнаружил в этой папке *.exe, с именем
    похожи на те, что были в C:\Temp\ и отличались только единицей в имени файла ( [1] ).
    Кроме NOD32 у меня еще установлен Outpost Firewall, но он тоже при сканировании ничего не находил и все время молчал.
    Только лишь при включении компьютера, он изредка ругался на WLCtrl32.dl из system32 что, мол, процесс запрашивает
    сетевой доступ, разрешить?
    На работу компьютера, в целом, как я заметил, наличие этих злокачественных файлов не влияет.
    При повторном сканировании NOD32 папок windows/system32 он ничего подозрительного не обнаружил, хотя в логе
    вирусов, со вчерашнего дня "висят" записи Mqt25.sys и еще несколько *.sys с указанием, что это win32Wigon.Ax троян.
    А в папке по адресу C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ по
    прежнему сидят 4 exe'шника, в C:\Temp\ тоже... но их там 2...

    Надо было не заниматься самодеятельностью, а сразу обраться сюда.

    Вот и прикрепленные логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скачать C:\WINDOWS\system32\Drivers\Mqt25.sys ,C:\WINDOWS\system32\WLCtrl32.dll -force delete
    затем выполните скрипт авз ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Temp\system32.exe/r','');
     DeleteService('Ycf60');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ycf60.sys','');
     DeleteService('Vad82');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vad82.sys','');
     DeleteService('Mqt03');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Mqt03.sys','');
     DeleteService('Fjm24');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fjm24.sys','');
     DeleteService('Dil46');
     DeleteService('Mqt25');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Mqt25.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Mqt25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dil46.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fjm24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mqt03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vad82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ycf60.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('sysfldr.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40
    Force delete для Mqt25.sys и WLCtrl32.dll выполнил.
    Скрипт в AVZ выполнил.
    Карантин прислал.
    Вот и логи:
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Trojan-Downloader.Win32.Small.ilt C:\WINDOWS\system32\sysfldr.dll

    Добавлено через 2 минуты

    Выполните
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Temp\system32.exe/r');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пофиксьте
    Код:
    O4 - HKLM\..\Run: [advap32] C:\Temp\system32.exe/r
    O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    O21 - SSODL: SysChk - {42544006-9079-457F-982D-B328FB684EF3} - (no file)
    Добавлено через 50 секунд

    Потом повторите логи с п.10 Правил
    Последний раз редактировалось rubin; 05.03.2008 в 19:17. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40
    Выполнил и пофиксил.
    P.S. в папках C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ попрежнему 6 exe файлов ( 5 из которых - являются, похоже копиями друг друга), а в C:\Temp\ - 2 exe, что с ними делать?

    Лог из п.10:
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    очистите временные интернет файлы ....
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Mqt25');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mqt25.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите последний лог ....

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40
    Все выполнено. Вот лог.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Удалилось успешно, плохого не видно. Какие еще жалобы?

  10. #9
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40
    Искренне благодарю за предоставленную помощь!

    В принципе жалоб больше нет, но вот только, меня почему-то смущают два файла из system32: dllsys.dll и wpa.dbl..
    Последний раз редактировалось SingifineS; 06.03.2008 в 01:40.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Хм... заархивируйте с паролем virus и пришлите http://virusinfo.info/upload_virus.php?tid=19174

  12. #11
    Junior Member Репутация
    Регистрация
    30.03.2007
    Адрес
    Zp
    Сообщений
    33
    Вес репутации
    40
    Сделано

    P.S. В архиве, второй файл - dllsys.dll скрытый системный.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В присланном Вами файле не найдено ничего вредоносного.

    Добавлено через 3 минуты

    dllsys.dll можно удалить, там мусор.
    Последний раз редактировалось AndreyKa; 06.03.2008 в 11:33. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sysfldr.dll - Trojan-Downloader.Win32.Small.ilt (DrWEB: Trojan.DownLoader.3851


  • Уважаемый(ая) SingifineS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Ddox.ci и троян "троян маячок"
      От eugenmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.08.2011, 13:06
    2. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    3. Trojan.Dowload и Win32Wigon.CK trojan
      От Fate в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:22
    4. Трояны Win32Wigon.CK и Win32Wigon.GC
      От Lesmo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.10.2008, 00:40
    5. Ответов: 2
      Последнее сообщение: 31.01.2008, 09:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01646 seconds with 17 queries