вирус Wigon. Траффик по SMTP.

[fanmas]

Идет массовая рассылка по SMTP протоколу. После обнаружения вирус Wigon в файле C:\WINDOWS\System32\drivers\Oua28.sys Win32/TrojanDownloader.Wigon.S trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\TEMP\BN8.tmp.

[Гриша]

Отключите антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{A910E159-CB45-4916-8341-440283C847F2}');
 QuarantineFile('C:\WINDOWS\system32\btpanu.dll','');
 DelBHO('{FFFFFFFF-DAD2-4a4c-848D-2CBFC6F0FD21}');
 QuarantineFile('sac32.dll','');
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteService('Wdj85');
 DeleteService('Wdi73');
 DeleteService('Vch51');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Xek17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wdj85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vch51.sys','');
 DeleteService('Rye62');
 DeleteService('Qwd84');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rye62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd84.sys','');
 DeleteService('Nty30');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nty30.sys','');
 DeleteService('Iou52');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Iou52.sys','');
 DeleteService('Agm62');
 DeleteService('Agl17');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Agm62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Agl17.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\32a5c4ac.tmp srv','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Agl17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Agm62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Iou52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nty30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qwd84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rye62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wdi73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wdj85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xek17.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('WinNt32.dll');
 DeleteFile('sac32.dll');
 DeleteFile('C:\WINDOWS\system32\btpanu.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_QrSvc('Themesseclogon ');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин и повторите логи.

[fanmas]

Визуально трафика нет. Virus.zip - архив карантина.

[Гриша]

Приложение 3 правил почитайте...

Пофиксить

Код:

F2 - REG:system.ini: Shell=
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9D65EEE-61D0-42B7-8FCF-47B9E3C482F3}: NameServer = 89.185.75.242,89.185.95.242
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Oua63');
 DeleteService('Oua28');
 DeleteService('Themesseclogon');
 DeleteFile('C:\WINDOWS\TEMP\32a5c4ac.tmp srv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua63.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Oua63 ');
BC_DeleteSvc('Oua28 ');
BC_DeleteSvc('Themesseclogon ');    
BC_Activate;
RebootWindows(true);
end.

Жалобы есть?

[fanmas]

Все норммально, но после фикса пропал интернет, точнее исходящая связь. Восстановил 3 строки - не загружается рабочий стол. Удалил снова строки, все также раб стол загрузился инета нет. Восстановил 1 строку все заработало. Восстановил O17 - HKLM\System\CCS\Services\Tcpip\..\{F9D65EEE-61D0-42B7-8FCF-47B9E3C482F3}: NameServer = 89.185.75.242,89.185.95.242
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

[pig]

Это пофиксите обратно:

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Не мешает, но мусор.