Показано с 1 по 5 из 5.

Троян Win32/Wigon.AX: оживает при каждом подключении к Интернету (заявка № 19331)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.03.2008
    Сообщений
    85
    Вес репутации
    161

    Thumbs up Троян Win32/Wigon.AX: оживает при каждом подключении к Интернету

    Всем доброго времени суток!
    Форумчанок – с грядущим праздником!

    Вчера, зайдя на страницу Интернет-магазина, торгующего товарами для хобби, был остановлен своим NOD 32 (версия 2.70). Он выловил троян и отправил в каранти. Подобные вещи случались и раньше, потому я не слишком обеспокоился, удалил незваного гостя и продолжал работать.

    Когда после перерыва я вновь включил компьютер и вышел в Интернет, сразу же появилось сообщение о трояне Win32/Wigon.AX, "прописанном" по адресу: C:\Windows\Temp\BN2.temp. Далее сообщалось, что антивирусом перехвачен зараженный файл драйвера и этот файл помещен в карантин. Впоследствии файлы драйверов менялись, но адрес у них был всегда один: C:\Windows\System 32\drivers\*.sys.

    Я несколько раз выключал и снова включал компьютер и каждый раз получал аналогичное уведомление. Проверки в помощью AVZ (я давно пользуюсь этой программой и очень благодарен ее разработчику г-ну Зайцеву) и скан с помощью антивируса ничего не показали. Поиск файла BN2.temp (через Проводник и AVZ) ничего не дал; такого файла попросту нет.

    Я переустановил Windows (с сохранением настроек). Результата это не возымело. Тогда я понял, что своими силами мне с трояном не справиться.

    Выполняя изложенные в Правилах рекомендации, я проверил систему Dr. Web'ом. Он выловил пару других троянов, но этот остался. Когда после выполнения скриптов я снова вышел в Интернет, то в очередной раз получил предупреждение. Только теперь имя у "невидимки" BN4.tmp, а паразитный драйвер именуется NSW15.sys.

    Уточняю: сообщение антивируса появляется даже если не залезать в Интернет или почту. Стоит только подключить ADSL-соединение, как через секунд пятнадцать появляется красное окошко.

    Спасибо всем, кто возьмется мне помогать.
    Последний раз редактировалось Пришелец-13; 29.07.2008 в 12:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wbg05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf61.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tyd48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxc72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oty73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jot40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jos48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp62.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Afj26.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Afj26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fkp62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jos48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jot40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Kpu05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mrv37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxc72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tyd48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uaf05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vbf61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wbg05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
    BC_ImportDeletedList;
     BC_DeleteSvc('Wch05');
     BC_DeleteSvc('Wbg05');
     BC_DeleteSvc('Vbf61');
     BC_DeleteSvc('Uaf05');
     BC_DeleteSvc('Tyd48');
     BC_DeleteSvc('Sxc72');
     BC_DeleteSvc('Oty73');
     BC_DeleteSvc('Mrv37');
     BC_DeleteSvc('Kpu05');
     BC_DeleteSvc('Jot40');
     BC_DeleteSvc('Jos48');
     BC_DeleteSvc('Fkp62');
     BC_DeleteSvc('Afj26');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19331).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.03.2008
    Сообщений
    85
    Вес репутации
    161
    Добрый вечер, Bratez!

    У нас в Питере еще день, полный мокрого снега и почти полного отсутствия мимоз (смерзла в Абхазии).

    Спасибо Вам за быстрый отклик и действенные советы. После выполнения предложенного скрипта антивирус уже не выдавал красное окошко с предупреждением.

    Отправляю все, что Вы просили.
    Последний раз редактировалось Пришелец-13; 29.07.2008 в 12:24.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    virus.zip уберите, это карантин! Я же дал ссылку для его загрузки.

    В логах чисто.
    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Рекомендуем работать на компьютере под ограниченным пользователем, пользоваться альтернативными браузерами (не IE). По моему лучше всего firefox+noscript

  • Уважаемый(ая) Пришелец-13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 15.08.2011, 16:19
    2. При подключении к интернету ругается AVG
      От romario_ckadnet в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2010, 22:46
    3. Ответов: 3
      Последнее сообщение: 11.02.2010, 21:00
    4. Ответов: 7
      Последнее сообщение: 16.05.2009, 20:34
    5. Ответов: 3
      Последнее сообщение: 29.03.2009, 09:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00134 seconds with 16 queries