Поймал Win32/Wigon.CK trojan

**Anton2008** · 30.07.2008, 19:11

Здравствуйте! Мой Nod32 обнаруживал Win32/Wigon.CK trojan при выходе в интернет. Пытался его уничтожить, теперь nod его не находит, но при выходе в интернет выдается сообщение типа "N3.tmp - обнаружена ошибка. Приложение будет закрыто. Приносим извинение за неудобства...", и активно идет отправление и принятие байтов в сеть и из нее.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 30.07.2008, 19:34

Что это у Вас и Нод и в остатках Авира, Касперский, Симантек... Прямо сборная мира...
После лечения будем чистить.
Скачайте IceSword , поищите и удалите через опцию force delete файлы:

Код:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winio28.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winbh52');
 DeleteService('Windk84');
 DeleteService('Winio28');
 DeleteService('Winlr40');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('ђ	 srv','');
 DeleteService('AudioSrvTermService');
 QuarantineFile('srv.exe','');
 DeleteService('ThemesRpcLocator');
 DeleteService('SpoolerSCardSvr');
 DeleteService('ProtectedStorageWebClient');
 DeleteService('PolicyAgentRasAuto');
 DeleteService('PlugPlaySENS');
 DeleteService('mnmsrvcRDSessMgr');
 DeleteService('Dhcpwinmgmt');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winio28.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windk84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh52.sys','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('c:\mishd8.exe','');
 DeleteFile('c:\mishd8.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windk84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winio28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr40.sys');
 DeleteFile('srv.exe');
 DeleteFile('ђ	 srv');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Winbh52');
 BC_DeleteSvc('Windk84');
 BC_DeleteSvc('Winio28');
 BC_DeleteSvc('Winlr40');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

**Anton2008** · 31.07.2008, 00:46

Я выполнил все, только не нашел "C:\WINDOWS\System32\Drivers\Winio28.sys". Карантин закачал, логи прилагаются.

**Гриша** · 31.07.2008, 00:49

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
BC_DeleteSvc('SpoolerSCardSvr');
BC_DeleteSvc('PlugPlaySENS');
BC_DeleteSvc('Dhcpwinmgmt');     
BC_Activate;     
RebootWindows(true);
end.

Повторите логи...

**Anton2008** · 31.07.2008, 14:36

Я все выполнил, логи прилагаются

**Rene-gad** · 31.07.2008, 14:45

С каким Антивирусом дальше жить собираетесь? Остальные подчистим.
Зловредного в логах не видать.
Сервис Пак 3 ставить надо.

**Anton2008** · 02.08.2008, 13:30

Э-эх, надо. Спасибо Вам огромнейшее!!! Насчет антивирусника еще не выбрал: или Eset smart security или Avira. Скорее всего Avira. Насчет файрвола тоже еще окончательно не выбрал. Сейчас у меня сеть немного барахлит, поэтому не могу регулярно выходить в инет. Еще раз спасибо!!!

**Anton2008** · 03.08.2008, 19:15

Буду оставлять Avira.

**Rene-gad** · 03.08.2008, 20:22

Сообщение от Anton2008

Буду оставлять Avira.

Скрипт очистки

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('TSP');
 DeleteService('SYMIDSCO');
 DeleteService('ids0004C');
 DeleteService('bdfdll');
 DeleteService('bdpredir');
 DeleteService('BDRSDRV');
 DeleteService('BDFSDRV');
 DeleteService('AVP');
 DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdpredir.sys');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys');
 DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**Anton2008** · 03.08.2008, 23:38

Спасибо большое! Все выполнил.
Сегодня зашел на вроде безобидный сайт о медицинском оборудовании, после чего Avira выдал предупреждение о вирусе (тот же wigon trojan) и заблокировал доступ. Я отрубил сеть, IE завис на минуту. Я проверил систему, посмотрите пожалуйста логи...