-
Junior Member
- Вес репутации
- 60
Win32/Wigon.BA trojan
Nod32 находит Win32/TrojanProxy.Small.NBM trojan, Win32/Wigon.BA trojan (19.03.2008 13:31:34 Real-time file system protection file C:\WINDOWS\TEMP\BNA.tmp probably a variant of Win32/Wigon.BA trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: \??\C:\WINDOWS\system32\winlogon.exe.) машина периодически лезет в иннет по 80 и 25 порту, очень прошу помоч, удалял уже несколько разных вирусов ручками т.к. ни AVZ ни Nod32 сделать ничего не могли...
Последний раз редактировалось cavetroll; 07.04.2008 в 10:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn1f.tmp');
SetServiceStart('Schedule', 4);
StopService('Schedule');
QuarantineFile('c:\windows\system32\dwrcst.exe','');
QuarantineFile('C:\WINDOWS\TEMP\BN21.tmp','');
QuarantineFile('C:\WINDOWS\system32\simcard1.dll','');
QuarantineFile('C:\Documents and Settings\Лачин АН\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc20.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\syswindrv.bin','');
QuarantineFile('C:\WINDOWS\system32\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn1f.tmp','');
DeleteFile('c:\windows\temp\bn1f.tmp');
DeleteFile('C:\WINDOWS\system32\syswindrv.bin');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc20.sys');
DeleteFile('C:\Documents and Settings\Лачин АН\Local Settings\Application Data\cftmon.exe');
BC_ImportAll;
BC_DeleteSvc('Ovc20');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20091
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: Flash Module - {E7A4C0C8-2BFF-4241-9E8C-92E10245EC28} - simcard1.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Повторите логи.
-
Я парочку добавил .Не забудьте отключиться от инета и выключить Nod32 перед исполнением скрипта.
-
-
Junior Member
- Вес репутации
- 60
выкладываю логи
от иннета не отключался, увидел сообщение когда обновилась страница после ответа...
машина переберая порты лезет в иннет на 216.195.55.77:2560
Последний раз редактировалось cavetroll; 07.04.2008 в 10:41.
-
скачать C:\WINDOWS\system32\Drivers\Ovc20.sys , C:\WINDOWS\system32\WLCtrl32.dll ... - force delete
затем выполните скрипт авз ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('syswindrv');
QuarantineFile('C:\WINDOWS\system32\syswindrv.bin','');
BC_DeleteSvc('Ovc20');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ovc20.sys','');
QuarantineFile('C:\WINDOWS\TEMP\BN22.tmp','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\cftmon.exe','');
QuarantineFile('c:\windows\system32\cftmon.exe','');
QuarantineFile('c:\windows\temp\bn22.tmp','');
DeleteFile('c:\windows\temp\bn22.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\TEMP\BN22.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\Ovc20.sys');
DeleteFile('C:\WINDOWS\system32\syswindrv.bin');
BC_DeleteSvc('Schedule');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
выкладываю логи
по поводу карантина, папку с карантином не чистил, в списке на архивирование вроде теже файлы, хотя размер архива увеличился, отсюда вопрос AVZ перезаписывает карантин или добавляет?
хотя вопрос видимо туповат
попытки соединения 216.195.55.77:2560 вроде прекратились...
Последний раз редактировалось cavetroll; 07.04.2008 в 10:41.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cftmon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось cavetroll; 07.04.2008 в 10:41.
-
в логах ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 60
спасибо огромное за помощ...
-
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Junior Member
- Вес репутации
- 60
25.03.2008 9:10:39 Real-time file system protection file C:\WINDOWS\Temp\BN4.tmp Win32/Spy.Agent.NFN trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.
не прошло и 5 дней, откуда лезет не пойму...
-
Ну как бы антивирус и должен врагов ловить. Но заведите новую тему и выложите логи посмотрим. Может снова кто-то нехороший пробрался.
-
Для Информации:
WLCtrl32.dll - Trojan-Downloader.Win32.Agent.kif (по Касперскому)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
спасибо
понаблюдаю пару дней, там видно будет...