Показано с 1 по 11 из 11.

Wigon Trojan (заявка № 24567)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Wigon Trojan

    Здравствуйте! На компе завёлся вирус Wigon Trojan. NOD 32 при перезагрузке удаляет новые файлы, созданные вирем. Помогите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ConnectionServices - деинсталировать ..
    скачайте C:\WINDOWS\System32\Drivers\Winai10.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\pebgkxwq.exe','');
     DelBHO('{f015f320-ab08-11db-abbd-0800200c9a66}');
     QuarantineFile('C:\WINDOWS\inetloader.dll','');
     DelBHO('{CF55DD2E-1E2C-44F7-8514-A94864AC2990}');
     DelBHO('{79C5FC7A-CC0D-4820-B61F-BDE6DA53E531}');
     DelBHO('{63A88B83-7D1F-4A51-B195-1D7F67F4E1F7}');
     BC_DeleteSvc('Winpx21');
     BC_DeleteSvc('Winnu07');
     BC_DeleteSvc('Winmu18');
     BC_DeleteSvc('Winiq31');
     BC_DeleteSvc('Winhp43');
     BC_DeleteSvc('Wincj43');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winai10.sys','');
     QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\khfCUoMF.dll','');
     QuarantineFile('C:\WINDOWS\system32\mlJbXqrO.dll','');
     DeleteFile('C:\WINDOWS\system32\mlJbXqrO.dll');
     DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\xkefqtgs.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Winai10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincj43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhp43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winiq31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmu18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnu07.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpx21.sys');
     DeleteFile('C:\WINDOWS\rnopbfgt.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('mlJbXqrO.dll');
     DeleteFile('C:\WINDOWS\kvsdpfearbl.dll');
     DeleteFile('C:\WINDOWS\inetloader.dll');
     DeleteFile('C:\WINDOWS\pebgkxwq.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35

    Спасибо

    Спасибо большое! Всё в порядке, вроде бы. Карантин прислал.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35
    Кажется, рано обрдовался. NOD обнаружил C:\WINDOWS\system32\drivers\Winai10.sys Wigon Trojan,
    C:\Temp\BN1.tmp,
    C:\Temp\avz_1008_raw.tmp.

    Посмотрите, пожалуйста, ещё раз логи.
    Пояните по поводу C:\WINDOWS\System32\Drivers\Winai10.sys - force delete с помощью Ice Sword. Нужно было удалить этот процесс? Не нашёл тогда его в списках.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните без промежуточных перезагрузок:

    1. Запустите Ice Sword, нажмите слева внизу File, найдите файлы:
    C:\WINDOWS\system32\Drivers\Winai10.sys
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    нажмите каждый правой кнопкой и выберите Force Delete.

    2. Пофиксите в HijackThis:
    Код:
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: (no name) - {15358F0E-4F20-43EE-83F1-3256F23396C6} - C:\WINDOWS\system32\khfCUoMF.dll (file missing)
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
    O4 - HKLM\..\Run: [d4cba069] rundll32.exe "C:\WINDOWS\system32\gewnpuvt.dll",b
    O4 - HKCU\..\Run: [RavAV] "C:\Documents and Settings\Амиго\Главное меню\Программы\Автозагрузка\RavMonE.exe"
    O20 - Winlogon Notify: mlJbXqrO - C:\WINDOWS\
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\rorrqhdp.dll','');
     QuarantineFile('C:\WINDOWS\system32\gewnpuvt.dll','');
     DeleteFile('C:\WINDOWS\system32\gewnpuvt.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winai10.sys');
     DeleteFile('C:\WINDOWS\system32\khfCUoMF.dll');
     DeleteFile('C:\WINDOWS\system32\rorrqhdp.dll');
    BC_ImportALL;
     BC_DeleteSvc('Winai10');
     BC_DeleteSvc('seclogonhelpsvcdmadmin');
     BC_DeleteSvc('helpsvcdmadminCOMSysApp');
     BC_DeleteSvc('helpsvcdmadmin');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35
    Спасибо! После проделанных операций просканил систему, вирусов не нашлось. Карантин высал
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteSvc('BITSWebClient');
     DeleteFile('WinCtrl32.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  9. #8
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35
    Выполнил. А что означали эти действия?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего плохого ...
    какие- то проблемы остались ?

  11. #10
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    6
    Вес репутации
    35

    Спасибо!

    Да нет, всё в порядке. Огромное вам спасибо!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\pebgkxwq.exe - Trojan.Win32.Vapsup.gpr (DrWEB: Trojan.Popuper.10959)
      2. c:\\windows\\system32\\gewnpuvt.dll - not-a-virus:AdWare.Win32.Virtumonde.yry (DrWEB: Trojan.Virtumod.based.17)
      3. c:\\windows\\system32\\mljbxqro.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.17)
      4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agh (DrWEB: Trojan.DownLoader.63553)
      5. c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.grh


  • Уважаемый(ая) Amigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Wigon.BK trojan
      От SCreator в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:55
    2. Wigon.BK trojan
      От dsa2 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:49
    3. Wigon.CG trojan
      От HuKuTuH в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.10.2008, 02:41
    4. win32/Wigon.CK trojan
      От Fearless в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.07.2008, 12:13
    5. Wigon Trojan
      От Lstrips в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 08.06.2008, 12:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01212 seconds with 17 queries