-
Junior Member
- Вес репутации
- 59
Win32/Wigon.AX троян
Последние два дня при загрузке компьютора появляется сообщие о вирусе:
08.03.2008 22:39:41 AMON файл C:\WINDOWS\System32\drivers\Mxi67.sys Win32/Wigon.AX троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN52.tmp. Файл был перемещен в карантин.
Менялось только название инфецированного файла. Плюс ко всему увеличился трафик на вход и выход.
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Xjt01', 4);
StopService('Xjt01');
SetServiceStart('Oak01', 4);
StopService('Oak01');
QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xjt01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oak01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
QuarantineFile('C:\WINDOWS\system32\syswindrv.bin','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\syswindrv.bin');
DeleteFile('C:\WINDOWS\System32\Drivers\Oak01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xjt01.sys');
DeleteFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r');
BC_ImportAll;
BC_DeleteSvc('Xjt01');
BC_DeleteSvc('Oak01');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19408
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Повторите логи.
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил, профиксил в HijackThis только строку 020, т.к. 04 именно такой не было уже. Сообщение о вирусе при загрузке не появляется. Трафик теперь нормальный вроде. Логи внизу. Что еще сделать?
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('syswindrv');
BC_DeleteSvc('Oyj56');
BC_Activate;
RebootWindows(true);
end.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Не успел выполнить последние рекомендации как опять вирусы начали вылазить. Ниже логи. Еще вопрос: рекомендации по отключению из списка нужно выполнять при помощи AVZ? Подскажите как?
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\D81.tmp','');
BC_DeleteSvc('Lwh56');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lwh56.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Lwh56.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('c:\D81.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
Все в порядке, только пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
С ненужными сервисами определились?
Добавлено через 1 минуту
Скажите, какие отключить - сделаем скрипт.
Последний раз редактировалось Bratez; 10.03.2008 в 11:56.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Спасибо за помощь!
Можно отключить все что вы перечислили кроме:
>> Безопасность: разрешен автозапуск программ с CDROM
и сомневаюсь насчет необходимости откючения:
>> Службы: разрешена потенциально опасная служба TermService
>> Службы: разрешена потенциально опасная служба SSDPSRV >> >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
т.к. не знаю на что может повлять. Может посоветуете?
-
На самом деле безболезненно можно отключить все перечисленное. Если есть локалка с общим доступом к файлам и принтерам, то надо оставить "доступ анонимного пользователя". Вот скрипт отключающий все кроме этого пункта и автозапуска CD:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Еще раз спасибо! Был приятно удивлен опперативностью ответов!
-
Junior Member
- Вес репутации
- 59
Опять трабл! Сегодня зашел на одну страницу, где и раньше бывал без проблем и опять схватил вируса. Опять начали вылазить сообщения о Win32/Wigon.AX троян. Удалил пару вирусов при помощи Cureit. Логи во вложении, карантин тоже посылаю. Из-за чего это может происходить так часто?
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Игорь\Рабочий стол\.//..//~tmp1174.exe','');
BC_DeleteSvc('Seo01');
QuarantineFile('C:\WINDOWS\System32\Drivers\Seo01.sys','');
BC_DeleteSvc('Qcn12');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qcn12.sys','');
BC_DeleteSvc('Teo11');
QuarantineFile('C:\WINDOWS\System32\Drivers\Teo11.sys','');
BC_DeleteSvc('Pbl56');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pbl56.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Pbl56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Teo11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qcn12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Seo01.sys');
DeleteFile('C:\Documents and Settings\Игорь\Рабочий стол\.//..//~tmp1174.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
может пора уже перестать сидеть под админом и пользоваться firefox+ noscript ?
-
-
Junior Member
- Вес репутации
- 59
Мне кажется что проблема просто глубже сидит, поэтому при удобном случае проявляется. Попробую пользоваться Мозилой. Карантин загрузил.
Последний раз редактировалось hunter70; 20.04.2008 в 23:44.
-
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
В остальном все в порядке
Microsoft Most Valuable Professional in Consumer Security
-
Сообщение от
hunter70
Мне кажется что проблема просто глубже сидит, поэтому при удобном случае проявляется. Попробую пользоваться Мозилой. Карантин загрузил.
да не пробовать нужно , а пользоваться .... 99 % вы заражаетесь с какого-то сайта через ie ....
-