win32/TrojanDownloader.Wigon.s

**lixolet** · 03.06.2008, 23:20

win32/TrojanDownloader.Wigon.s
и такое
модифицированный win32/Wigon

Имеем нод 32. Сегодня после перезагрузки компьютера нод нашёл и обезвредил выше указанный вирус...
Но после перезагрузки всё появляеться по новой и нод сново убивает эту гадость, однако всё повторяется циклично, удаление\перезагрузка\опять эта срань на компьютере...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 03.06.2008, 23:26

Отключите весь защитный софт и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Xdi04.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Taf27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Syd40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jpp61.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Flq05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp62.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteService('Xdi04');
 DeleteService('tcpsr');
 DeleteService('Taf27');
 DeleteService('Syd40');
 DeleteService('Jpp61');
 DeleteService('Flq05');
 DeleteService('Fkp15');
 DeleteService('Ekp62');     
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ekp62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkp15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Flq05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jpp61.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Syd40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Taf27.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xdi04.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('WinNt32.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Xdi04');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Taf27');
BC_DeleteSvc('Syd40');
BC_DeleteSvc('Jpp61');
BC_DeleteSvc('Flq05');
BC_DeleteSvc('Fkp15');
BC_DeleteSvc('Ekp62');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23968

ConnectionServices удалите это адваре.

Повторите логи.

**lixolet** · 03.06.2008, 23:40

Карантин прислал
написало:
Файл сохранён как 080603_143833_virus1_48459db90b78c.zip
Размер файла 101164
MD5 98ca8dc8a1dd1e08a2a615860ddd5efb

сейчас будут повторные логи

**lixolet** · 04.06.2008, 00:02

вот добавил

**V_Bond** · 04.06.2008, 00:08

ConnectionServices - деинсталировать ...
выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\Linkdel.cmd/','');
 QuarantineFile('linkdel.cmd','');
 BC_DeleteSvc('Uaf61');
 BC_DeleteSvc('Sxd15');
 BC_DeleteSvc('ejO05');
 DeleteFile('C:\WINDOWS\System32\Drivers\ejO05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sxd15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaf61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**lixolet** · 04.06.2008, 00:26

Уважаемый V_Bond
сейчас смотрю свой карантин а у меня там пусто, ни одного файла...
Что делать?

**V_Bond** · 04.06.2008, 00:31

пофиксите ...

Код:

O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

HijackThis повторите ...

**lixolet** · 04.06.2008, 00:46

Ребят дело в том что уже, проблемма исчезла... перезагружаюсь после каждого действа и нод молчит, а раньше сразу всплывало...

V_Bond делать дальше так как вы сказали?

**V_Bond** · 04.06.2008, 00:51

сделайте последний лог ....

**lixolet** · 04.06.2008, 00:56

закачал пишет следующее
Файл сохранён как 080603_155545_virus1_4845afd184fdf.zip
Размер файла 84614
MD5 60ce225bbe2670df26472a309fc324d1

**lixolet** · 04.06.2008, 00:58

вот

**V_Bond** · 04.06.2008, 01:05

фикс выполнялся ?

**lixolet** · 04.06.2008, 01:17

упс помоему пропустил, извини. Сделать? и по новой?

Добавлено через 6 минут

если будут замечания всё сделаю уже завтра, засыпаю...
Большое вам спасибо за помощь.

**CyberHelper** · 22.02.2009, 05:44

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 42
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)
2. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)

win32/TrojanDownloader.Wigon.s (заявка № 23968)

Опции темы

win32/TrojanDownloader.Wigon.s

Итог лечения

Похожие темы

Win32/TrojanDownloader.Wigon.BS

Win32\TrojanDownloader.Wigon.BS

Win32/TrojanDownloader.Wigon.BS 2

Заражение Win32/TrojanDownloader.Wigon.BS

Win32/TrojanDownloader.Wigon.BS

Ваши права в разделе