Win32/Wigon.Cl trojan

[ab777]

Снова трояна поймал. Логи прикрепляю.

[Rene-gad]

Восстановление системы: включено

Отключать надо на время лечения.

база от 20.06.2008

Базы обновить надо
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\aelupsvce.dll','');
 DeleteFile('C:\Windows\system32\aelupsvce.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки - карантин и логи по правилам в студию
ПС: Где и кем был найден Win32/Wigon.Cl trojan?

[ab777]

восстановление отключаю...

[ab777]

прикреплены

[ab777]

карантин закачал.

Добавлено через 1 час 38 минут

Все правильно прицепилось/закачалось?

Добавлено через 48 минут

?

Добавлено через 32 минуты

ответьте, плиз, что-нибудь...

[Rene-gad]

В логах ничего зловредного не видно. Проблема решилась?
Почему не ответили на мой вопрос из сообщения 2?

[ab777]

Проблема не решилась. Nod кричит на тот же вирус.
На все вопросы вроде ответил. Что именно не понятно?

Вирус ловится, но не удаляется.

Добавлено через 1 час 38 минут

ПОсле перезагрузки отрубилось оформление аэро в висте.

Переписываю, что нод выдает:

Alert details:
wwwwhttpwwwru.ru/loader.exe

Threat:
Win32/Wigon.CI trojan

Comment:
The object contains a threat to your computer

Добавлено через 3 минуты

Avz выдает вот такую хрень при проверке:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 852231F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 80DD51F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 94
Количество загруженных модулей: 713


Добавлено через 1 минуту

Также заблокирован доступ в папку Document and Settings

[pig]

А, NOD загрузку зверя из Сети тормознул. Естественно, что удалять нечего - зверь снаружи, туда вам не дотянуться.

Перехваты от Daemon Tools или Алкоголя - не пойму, что у вас стоит, но драйвер соответствующий в памяти висит.

[ab777]

НЕ уверен. Окно-то не убирается даже когда сеть выключается. Постоянно вылезает.
Плюс заблокировалась системная папка, плюс перехватчики левые в системе остались, плюсь вырубился интерфейс аэро(вернул руками в настройках - сбросился на стандартный стиль). Плюс блокируется установка setup_7.0.0.223_23.06.2008_21-30.exe, плюс блокируется запуск IceSword. Исчез из трея значок сетевого подключения.
Что делать дальше?

[pig]

По поводу Аэро - в порядке бреда попробуйте восстановить из карантина AVZ C:\Windows\system32\aelupsvce.dll - вдруг как раз от него библиотека.

[ab777]

Не, аэро на месте... Просто сбросился интерфейс на стандартный.
Перезагрузился. Значок сети вернулся.
Вырубил маршрутизатор. Инет вырубил. Нод молчит.
Начал орать APS - хакер на 80 порту. Попытки идут одна за одной изнутри наружу.
Комп вырублен от инета.
Папка Document and Settings по прежнему заблокирована.

В системе сидит какая-то хрень - абсолютно точно.

Добавлено через 1 минуту

Попробую загрузится с реаниматора. Прогнать еще раз антивирусом.

Добавлено через 13 минут

Да, еще вспомнил у нода вдруг отрубилась возможность обновления баз. Типа истек период и т.п. Чего быть не должно.

Добавлено через 40 минут

При загрузке с реаниматора (XP) не видит диски на харде ноутбука, на котором установлена виста. На компе с XP все работало. Поэтому прогнать антивирус извне не получается.

Что еще можно сделать?

Добавлено через 30 минут

Каперский "мини" снес, который так и не установился нормально на висту. Может он и долбился в 80 порт наружу?

Снес НОД поставил вместо него корпоративный SAV...
Может это нод вызывает глюки просроченный и не очень "белый"? Типа защита софта производителем?

Пока тихо...