Показано с 1 по 7 из 7.

подцепил wigon.BE после подцепа win32/statik, помогите. (заявка № 24569)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2008
    Адрес
    новосиб
    Сообщений
    8
    Вес репутации
    36

    Question подцепил wigon.BE после подцепа win32/statik, помогите.

    вот что щас у меня нашел нод но не удаляет...
    запустил доктора веба как в инструкции нашел еще и win32/rootKit.trojan
    и какуюто его модификацию, пишет что удалено, но видно что winlogon долбится наружу по адресам:
    из аутпоста, с ним щас и живу блокировал внешку - но макстон открыт чтоб в инет лазить.

    WINLOGON.EXE TCP локальное:любое
    локал порт-2401
    IP 208.66.194.232
    удал порт 80
    Блокировать действия приложения WINLOGON.EXE ИСХ БЛОКИРОВАНО

    то что выдавал нод32
    Е:\WINDOWS\system32\drivers\Eim83.sys модифицированный Win32/Wigon троян
    E:\WINDOWS\TEMP\BN10F0.tmp модифицированный Win32/Wigon троян
    E:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY троян
    E:\WINDOWS\System32\svchost.exe

    http://
    u.axa-axa.cn/
    up/
    l/
    0/
    22bbab48ddf0b0ef3419dd7d3e3b3208
    вероятно модифицированный Win32/Statik приложение

    со статика началось все, а еще началось все на самом деле с игрушки алавар качнул я значит поиграться в триалверсию... и на тебе нод рыпнулся "Множественный доступ"

    при попытке лечения в AVZ с галкой напротив рут кита в логах пишет что много чего заблокировано но работа антируткита неудачно завершена.

    собственно щас по инструкции просканирую еще разок и кину логи... в течении часа... а то за время тестов сам понаделал ерунды походу

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    13.06.2008
    Адрес
    новосиб
    Сообщений
    8
    Вес репутации
    36
    странно но почемуто не прошел второй лог он составил 3 мегабайта...

    полюбому не зальется...
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Eim83');
     SetServiceStart('Eim83', 4);
     QuarantineFile('E:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('E:\WINDOWS\System32\Drivers\Uae15.sys','');
     QuarantineFile('E:\WINDOWS\System32\Drivers\Eim83.sys','');
     DeleteFile('E:\WINDOWS\System32\Drivers\Eim83.sys');
     DeleteFile('E:\WINDOWS\System32\Drivers\Uae15.sys');
     DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportALL;
     BC_DeleteSvc('Eim83');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Uae15');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24569).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    13.06.2008
    Адрес
    новосиб
    Сообщений
    8
    Вес репутации
    36
    извиняюсь за расторопность вобщем установил новую винду...
    включил AVZ подрубил зараженный винт и вручную убил Eim83.sys shift+del
    занимаюсь творчеством поэтому иногда нервничаю - работа встала решаю любыми способами...

    за скрипт спасибо на будущее.

    я службу не догадывался вырубить!

    а программа AVZ за последние 2 дня стала мне незаменимым помошником - молодцы создатели!

    единственное чего она не делает это не чистит реестр от имеджей вот эту функцию включитьбы туды... былоб незаменимо...
    а так ручками ручками...

    СПАСИБО!

    п.с.
    Еслиб небыло у меня 4-х хардов со свободным местом на одном то реал дождался бы ответа...
    просто реал спать охота и диплом распечатывать... по сути у меня диплом повис в воздухе...

    Добавлено через 9 минут

    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=082B80)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
    SDT = 80882B80
    KiST = 8080BD20 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\drivers\tcpsr.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Uae15.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (%systemroot%\System32\Drivers\Eim83.sys)
    Карантин с использованием прямого чтения - ошибка
    Удаление файла:%systemroot%\System32\Drivers\Eim83.sys
    >>>Для удаления файла %systemroot%\System32\Drivers\Eim83.sys необходима перезагрузка
    Удаление файла:%systemroot%\System32\Drivers\Uae15.sys
    >>>Для удаления файла %systemroot%\System32\Drivers\Uae15.sys необходима перезагрузка
    Удаление файла:%systemroot%\System32\drivers\tcpsr.sys
    >>>Для удаления файла %systemroot%\System32\drivers\tcpsr.sys необходима перезагрузка
    Автоматическая чистка следов удаленных в ходе лечения программ
    [микропрограмма лечения]> Удалена служба/драйвер Eim83

    вот последнее осталось на компе из-за нее реестр не чистился...

    спасибо еще раз
    Последний раз редактировалось photocanon; 14.06.2008 в 01:29. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    13.06.2008
    Адрес
    новосиб
    Сообщений
    8
    Вес репутации
    36
    проверился еще разик по пункту 10 все вроде нормально вам виднее что дальше делать...

    по реестру картинку сделал куда эта штука прописалась...
    Изображения Изображения
    • Тип файла: jpg eim83.JPG (124.3 Кб, 14 просмотров)
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Это AVZ записала отложенное удаление файла.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) photocanon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите с Win32/Statik
      От Lexap666 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.05.2010, 05:56
    2. Помогите, непонятный Win32/Statik
      От uksus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.08.2009, 23:00
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. Подцепил Wigon.BY
      От neos в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:11
    5. Win32/Wigon.CK и Win32/Statik
      От Патриция в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.09.2008, 23:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00968 seconds with 17 queries