Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Win32/Wigon троян (заявка № 24463)

  1. #1
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36

    Exclamation Win32/Wigon троян

    Здравствуйте! Несколько дней назад я начала замечать что приподключении к интернету стало сниматься больше трафика (особенно исходящего). Сегодня после обновления NOD32 выбил сообщение "Файл C:\WINDOWS\system32\drivers\rxb82.sys инфицирован модифицированный Win32/Wigon троян.Файл может быть удален и т.д.". Вроде вылечила этот файл другим антивирусом. Но потом при подключении к интернету NOD32 постоянно писал про новые зараженные файлы и отправлял их в карантин. Очень надеюсь на вашу помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('Rxb82');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rxb82.sys','');
     BC_DeleteSvc('Fjm50');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fjm50.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fjm50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rxb82.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('WinNt32.dll');
     DeleteFile('WinNt64.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    всё сделала, но во время выполнения скрипта всё пропало, был чистый рабочий стол без панели и ярлыков, диспетчер тоже не вызывался. Перезагрузила копм. Вот логи:
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ..(компьютер перегрузится )
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Uyd82');
     BC_DeleteSvc('otW71');
     BC_DeleteSvc('Lps47');
     BC_DeleteSvc('dhK50');
     BC_DeleteSvc('Bgj14');
     BC_DeleteSvc('Txc71');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('Afi36');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Afi36.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\BN23.tmp','');
     QuarantineFile('C:\WINDOWS\System32\WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('c:\windows\temp\bn23.tmp','');
     DeleteFile('c:\windows\temp\bn23.tmp');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\WinNt64.dll');
     DeleteFile('C:\WINDOWS\TEMP\BN23.tmp');
     DeleteFile('C:\WINDOWS\System32\Drivers\Afi36.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Txc71.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bgj14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\dhK50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\otW71.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uyd82.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('WinNt64.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    Все сделала
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    И еще... Только что NOD32 выбил сообщение про передачу подозрительных файлов: "следующие файлы, вероятно, содержат новые угрозы. Пожалуйста передайте их в Eset для дальнейшего анализа. Файл: \??\C:\WINDOWS\TEMP\BN3A.tmp". Что это значит?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах чисто, только пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
    Папку C:\WINDOWS\TEMP очистите полностью.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    Спасибо, все сделала. А в папке C:\WINDOWS\Temp\ нету ничего жизненно-важного? а то там так много файлов...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В папке C:\WINDOWS\Temp нет ничего кроме мусора.
    Ну если только вы лично что-то нужное туда положили...
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    Огромное спасибо за помощь!!!

    Добавлено через 7 минут

    а то что из этой папки не удаляются два файла - это нормально?
    Последний раз редактировалось Izzy; 12.06.2008 в 16:07. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нормально. Просто они открыты какой-то программой. Пусть остаются.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    во время проверки NOD32 нашел еще одну проблему... "Вирус Win32/Afgan.A." Что это и как с ним бороться? Заражен был файл который впринципе мне не нужен и я его удалила, больше NOD32 ничего не нашел. Вируса уже нету или лучше проверить еще чем-то?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    на всякий случай выполните пункт 2 правил ...

  15. #14
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    во время полной проверки CureIT! нашел в папке C:\Documents and Settings\*user*\Local Settings\Temp новый троян Trojan.PWS.LDPinch.1764. Обьект IH126.tmp был удалён. Надеюсь там не было ничего важного?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    важного точно не было ...

  17. #16
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    сейчас продолжается полная проверка, уже нашло 7 инфицированных файлов. везде нажимаю "лечить", половину исцелило, остальное удалило. Нод этого всего не видел... Встатистике cureit написано что кроме 7 инфиц. файлов нашло еще 1 программу взлома. Проверка идет уже полтора часа, но это только половина... Меня пугают результаты проверки

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Цитата Сообщение от Izzy Посмотреть сообщение
    CureIT! нашел ... троян Trojan.PWS.LDPinch.1764. Обьект IH126.tmp был удалён. Надеюсь там не было ничего важного?
    Там-то нет, а вот пароли, которые у вас были сохранены, надо поменять.

  19. #18
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    наконецто проверка закончилась. 5 часов CureIT проверял. Нашел 5 программ-шуток, 1 программу взлома и 10 инфицированных обьектов. Инфицированные обьекты были исцелены или удалены, а программы остались. Теперь все чисто?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Имена зловредов перечислите, пожалуйста.

  21. #20
    Junior Member Репутация
    Регистрация
    11.06.2008
    Адрес
    Украина/Харьков
    Сообщений
    36
    Вес репутации
    36
    Trojan.PWS.LDPinch.1764
    BackDoor.Bulknet.207
    Win32.HLLP.Mrak.6
    BackDoor.Bulknet.195
    Trojan.PWS.Qqpass.245
    Trojan.DownLoader.62373
    Вот. Они там повторяются

  • Уважаемый(ая) Izzy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Троян Win32/Wigon.CK и др
      От apsfv в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:02
    2. Win32/Wigon.CK Троян
      От Bazich в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:20
    3. Win32/Wigon.CK троян
      От SergeySV в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:06
    4. Win32/Wigon Троян
      От MaryG333 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:29
    5. Win32/Wigon Троян
      От Skreaper в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.07.2008, 13:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01019 seconds with 17 queries