Показано с 1 по 17 из 17.

Win32/Wigon.AX троян (заявка № 19408)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59

    Thumbs up Win32/Wigon.AX троян

    Последние два дня при загрузке компьютора появляется сообщие о вирусе:
    08.03.2008 22:39:41 AMON файл C:\WINDOWS\System32\drivers\Mxi67.sys Win32/Wigon.AX троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN52.tmp. Файл был перемещен в карантин.
    Менялось только название инфецированного файла. Плюс ко всему увеличился трафик на вход и выход.
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Xjt01', 4);
     StopService('Xjt01');
     SetServiceStart('Oak01', 4);
     StopService('Oak01');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Xjt01.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Oak01.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
     QuarantineFile('C:\WINDOWS\system32\syswindrv.bin','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\syswindrv.bin');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oak01.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xjt01.sys');
     DeleteFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r');
    BC_ImportAll;
    BC_DeleteSvc('Xjt01');
    BC_DeleteSvc('Oak01');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19408

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\C243~1\LOCALS~1\Temp\77372906/r
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Скрипт выполнил, профиксил в HijackThis только строку 020, т.к. 04 именно такой не было уже. Сообщение о вирусе при загрузке не появляется. Трафик теперь нормальный вроде. Логи внизу. Что еще сделать?
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('syswindrv');
     BC_DeleteSvc('Oyj56');
    BC_Activate;
    RebootWindows(true);
    end.
    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Не успел выполнить последние рекомендации как опять вирусы начали вылазить. Ниже логи. Еще вопрос: рекомендации по отключению из списка нужно выполнять при помощи AVZ? Подскажите как?
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\D81.tmp','');
     BC_DeleteSvc('Lwh56');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lwh56.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lwh56.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('c:\D81.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    карантин загрузил
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все в порядке, только пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    С ненужными сервисами определились?

    Добавлено через 1 минуту

    Скажите, какие отключить - сделаем скрипт.
    Последний раз редактировалось Bratez; 10.03.2008 в 11:56. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Спасибо за помощь!
    Можно отключить все что вы перечислили кроме:
    >> Безопасность: разрешен автозапуск программ с CDROM

    и сомневаюсь насчет необходимости откючения:
    >> Службы: разрешена потенциально опасная служба TermService
    >> Службы: разрешена потенциально опасная служба SSDPSRV >> >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    т.к. не знаю на что может повлять. Может посоветуете?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    На самом деле безболезненно можно отключить все перечисленное. Если есть локалка с общим доступом к файлам и принтерам, то надо оставить "доступ анонимного пользователя". Вот скрипт отключающий все кроме этого пункта и автозапуска CD:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Еще раз спасибо! Был приятно удивлен опперативностью ответов!

  13. #12
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Опять трабл! Сегодня зашел на одну страницу, где и раньше бывал без проблем и опять схватил вируса. Опять начали вылазить сообщения о Win32/Wigon.AX троян. Удалил пару вирусов при помощи Cureit. Логи во вложении, карантин тоже посылаю. Из-за чего это может происходить так часто?
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Игорь\Рабочий стол\.//..//~tmp1174.exe','');
     BC_DeleteSvc('Seo01');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Seo01.sys','');
     BC_DeleteSvc('Qcn12');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qcn12.sys','');
     BC_DeleteSvc('Teo11');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Teo11.sys','');
     BC_DeleteSvc('Pbl56');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pbl56.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pbl56.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Teo11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qcn12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Seo01.sys');
     DeleteFile('C:\Documents and Settings\Игорь\Рабочий стол\.//..//~tmp1174.exe');
     DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    может пора уже перестать сидеть под админом и пользоваться firefox+ noscript ?

  16. #15
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    17
    Вес репутации
    59
    Мне кажется что проблема просто глубже сидит, поэтому при удобном случае проявляется. Попробую пользоваться Мозилой. Карантин загрузил.
    Последний раз редактировалось hunter70; 20.04.2008 в 23:44.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    В остальном все в порядке
    Microsoft Most Valuable Professional in Consumer Security

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от hunter70 Посмотреть сообщение
    Мне кажется что проблема просто глубже сидит, поэтому при удобном случае проявляется. Попробую пользоваться Мозилой. Карантин загрузил.
    да не пробовать нужно , а пользоваться .... 99 % вы заражаетесь с какого-то сайта через ie ....

  • Уважаемый(ая) hunter70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян Win32/Wigon.CK и др
      От apsfv в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:02
    2. Win32/Wigon.CK Троян
      От Bazich в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:20
    3. Win32/Wigon троян
      От Izzy в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 22.02.2009, 05:52
    4. Win32/Wigon Троян
      От MaryG333 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:29
    5. Win32/Wigon Троян
      От Skreaper в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.07.2008, 14:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00882 seconds with 19 queries