Wigon

[alex2san]

Hi.

Nod32 каждый раз определяет при старте компа Wigon.CG и убивает создание файла в system32\drivers. Программа создатель *.tmp из TEMPа.
Чистка темпа естественно не помогает. Есть подозрение что заразился winlogon.
На компе установлен avest для банковской программы.

[Numb]

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строчки :

Код:

O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrame3IECOM.dll (file missing)
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Winlq37\0000', 'CSConfigFlags', '1');
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winot84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winch37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winae61.sys','');
 QuarantineFile('C:\instdir.tmp\RemoteService.exe','');
 QuarantineFile('C:\WINDOWS\System32\LightFrame3IECOM.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winlq37.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\services.exe','');
 QuarantineFile('c:\windows\system32\rtservice.exe','');
 QuarantineFile('c:\windows\system32\fmctrl.exe','');
 DeleteFile('c:\windows\services.exe');
 BC_DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\Winlq37.sys');
 DeleteFile('C:\WINDOWS\System32\LightFrame3IECOM.dll');
 BC_DeleteFile('C:\WINDOWS\System32\LightFrame3IECOM.dll');
 DeleteFile('C:\instdir.tmp\RemoteService.exe');
 BC_DeleteFile('C:\instdir.tmp\RemoteService.exe');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winae61.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winch37.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winch37.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winhm50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winot84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsw50.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsw50.sys');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{43D29D14-460E-4F3A-9037-E60F11EF12F0}');
BC_DeleteSVC('Winsw50');
BC_DeleteSVC('Winrw83');
BC_DeleteSVC('Winrw37');
BC_DeleteSVC('Winot84');
BC_DeleteSVC('Winmr26');
BC_DeleteSVC('Winhm50');
BC_DeleteSVC('Winch37');
BC_DeleteSVC('Winae61');
BC_DeleteSVC('Winlq37');
BC_DeleteSVC('PrinterInstall');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24658 , как написано в прил. 3 правил, и повторите логи.

[alex2san]

Похоже все нормально.

P.S. C:\WINDOWS\system32\IBFS32.dll - перемещение этого файла вызвало сбой в работе avz.
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe - это мне зачем?

[alex2san]

Куда-то карантин делся. Написало загружено, а в теме нету?
Повторно выслать не могу - уже удалил.

[pig]

Карантин пошёл куда надо.

[Numb]

Похоже все нормально.

P.S. C:\WINDOWS\system32\IBFS32.dll - перемещение этого файла вызвало сбой в работе avz.
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe - это мне зачем?

Хм-м-м, а почему возникло желание их удалять? Скрипт их не должен удалять, вроде. Mdm.exe - maсhine debug manager, отладчик, IBFS32.dll - похож на интерфейс управления каким-то устройством ( если google не врет, конечно)
В логах, вроде-бы, чисто. Симптомы заражения остались какие-нибудь?

[alex2san]

Спасибо. Все работает нормально.

Желание возникло от незнания каким образом дебугер попал на комп.
А IBFS32.dll - просто были подозрения на него раньше.

P.S. А почему инфа о карантине не отразилась в теме?

[PavelA]

services.exe_ - Trojan-Proxy.Win32.Small.qn
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.agw - свежий

Все убиты.

[pig]

А почему инфа о карантине не отразилась в теме?

Так специально сделано. Мухи отдельно, котлеты отдельно.