Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Помогите - Win32/Wigon.Ax (заявка № 19578)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59

    Thumbs up Помогите - Win32/Wigon.Ax

    Подцепил заразу, не могу избавится...Нод при запуске инета находит в C:\WINDOWS\System32\drivers\Nqt71.sys Win32/Wigon.AX троян,перемещает в карантин, но как результат - зверски жрется трафик и результата нет ... вся надежда на вас, прикрепляю файлы:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    скачать ... http://www.wasm.ru/baixado.php?mode=tool&id=392
    - отключить антивирус и фаервол
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\drivers\Nqt71.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...

    Затем будем скриптами дочищать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Ок, тока один момент по поводу антивируса - я нод вырубаю, а в процессах остается nod32krn.exe, причем не завершается принудительно, его тоже закрывать или можно оставить?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лучше тормозни его чтобы не мешался.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Еще забыл уточнить что в drivers\Nqt71.sys файл с раширением sys каждый раз разный. Nqt71.sys не нашел, нод вероятно его в карантин перемещает, а при следующей перезагрузке и выходе в инет он находит уже другой файл с расширением sys.
    Последний раз редактировалось Diamond85; 11.03.2008 в 19:50.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Начнем вот с этого:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system\wininit.exe','');
     QuarantineFile('WLCtrl32.dll','');
     QuarantineFile('C:\Program Files\\common files\\system\\dnet\\dnetc.ini','');
     QuarantineFile('C:\Program Files\\common files\\system\\dnet\\dnetc.exe','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\Program Files\\common files\\system\\dnet\\dnetc.exe');
     DeleteFile('C:\Program Files\\common files\\system\\dnet\\dnetc.ini');
    BC_ImportAll;
    ExecuteSysClean;
    
    BC_Activate;
    RebootWindows(true);
    end.
    Если что попадет в карантин, то загрузить через ссылку вверху.
    После этого сделать логи с п.10

    В Планировщики Ваши задания? Если нет то удалить.
    Последний раз редактировалось Alex_Goodwin; 11.03.2008 в 20:26.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    я так понимаю это скопировать в AVZ - выполнить скрипт?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, именно так.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Не получается - Ошибка скрипта: Undeclared identifier: 'BC_ImportDeletedAll', позиция [11:20]

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Поправил скрипт.

  12. #11
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Выполнил вышенаписанный скрипт, нод вроде молчит, никаких вирусов не находит, выкладываю файлы с 10п.:
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Пофиксить:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    O22 - SharedTaskScheduler: OpenGL additional - {8A5849C4-93F3-429D-FF34-660A2068897C} - (no file)
    2. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     QuarantineFile('C:\WINDOWS\system32\ecsRx18K.exe','');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{85d1f590-48f4-11d9-9669-0800200c9a66}');
     QuarantineFile('WLCtrl32.dll','');
     QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ayneqeh8.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\ayneqeh8.SYS');
     DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\bdoscandel.exe');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

  14. #13
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Всё сделал. Что-нибудь еще требуется?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Карантин отправьте. Логи начиная с пункта 10 повторите.

  16. #15
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Карантин и логи:
    Вложения Вложения

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Ну вообще-то карантин у нас грузится по ссылке вверху страницы, а не в тему, уберите его.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    WLCtrl32.dll - Trojan-Downloader.Win32.Agent.kvg

  19. #18
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Поищите при помощи АВЗ сервис--поиск файлов на диске ecsRx18K.exe пришлите его согласно приложению 2 правил.

  20. #19
    Junior Member Репутация
    Регистрация
    11.03.2008
    Сообщений
    19
    Вес репутации
    59
    Прошу прощения, отослал карантин по правилам...поиск ecsRx18K.exe результатов не дал...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Пуск - панель управления - назначенные задания - удалить все связанное с ecsRx18K.exe

  • Уважаемый(ая) Diamond85, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите: win32/spy.zbot.fb и Win32/Wigon
      От BitterMarch в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 10:11
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    3. Помогите с Win32\wigon
      От Andrey BDK в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:48
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00
    5. Помогите! Win32/Wigon.CN & Win32/PSW.Agent.NHV
      От SoftSlider в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.07.2008, 02:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00215 seconds with 20 queries