Показано с 1 по 6 из 6.

Wigon.S дубль три (заявка № 24147)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35

    Exclamation Wigon.S дубль три

    Здравствуйте!
    Вот ссылочка на предыдущую тему: http://virusinfo.info/showthread.php?t=24146
    Вот и файлы с третьего проблемного компа:

    Заранее благодарен!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\drivers\Gaa45.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Backup\Ella\Temp\user18.msi','');
     QuarantineFile('C:\Инфа-бух\Temp\user18.msi','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nhh65.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lcq23.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Gaa45.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Gaa45.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lcq23.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nhh65.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Backup\Ella\Temp\user18.msi');
     DeleteFile('C:\Инфа-бух\Temp\user18.msi');
    DelWinlogonNotifyByKeyName('WinNt32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Nhh65');
    BC_DeleteSvc('Lcq23');
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Gaa45');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил и скопированный Вами файл в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24147 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    новые логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    А Ваш карантин? Я его не увидел, если не присылали, то пришлите.
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Fkk80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fnn12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sug58.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Sug58');
    BC_DeleteSvc('Fnn12');
    BC_DeleteSvc('Fkk80');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    12
    Вес репутации
    35
    Совсем я запутался что у меня на каком компе
    Да и давно в ту контору не заходил. В общем текущие логи.
    И, похоже, новый вирь завёлся (нод тоже не видит). Пропадает сеть, процесс svchost кушает порядка 50%...
    После полной проверки и выполнения стандартных скриптов вроде нормально стало. Но как бы не повторилось. А вигон никуда не делся, там и живёт.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    При помощи IceSword скопировать куда-нибудь, а затем удалить:
    'C:\WINDOWS\system32\WinCtrl32.dll'
    'C:\WINDOWS\system32\crypts.dll'

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteService('Winne61');
     DeleteService('Winjo12');
     DeleteService('Wineu82');
     DeleteService('Sug58');
     DeleteService('Fnn12');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fkk80.sys','');
     DeleteService('Fkk80');
     QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     TerminateProcessByName('c:\1o5hwu.exe');
     QuarantineFile('c:\1o5hwu.exe','');
     DeleteFile('c:\1o5hwu.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\crypts.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fkk80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fnn12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sug58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineu82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winne61.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин все-таки с этой машины. Новые логи нужно сделать.

    Сладкую парочку, которую скопируешь, тоже прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) pl--alex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Get Accelerator Дубль два
      От TrP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 13:26
    2. kajgana.exe дубль 3
      От WildGnom в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.09.2009, 22:15
    3. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    4. WinAvXX.exe дубль 2
      От Elessar в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 02:49
    5. дубль 2
      От Valdemar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2008, 16:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00229 seconds with 17 queries