Показано с 1 по 9 из 9.

Wigon.BY и прочее (заявка № 30671)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    4
    Вес репутации
    34

    Wigon.BY и прочее

    Добрый день!
    НОД при ребуте каждый раз находит 2 трояна Win32/Wigon и Wind32/Wigon.BY. Гады появлются постоянно
    Прошу помощи квалифицированных специалистов
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    c:\program files\active keyboard - сами ставили? Если нет - удалите как приложение.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\ati8vgxx.sys
    Скопированные с помощью IceSword файлы сохраните гден нибудь на диске, чтобы потом добавить в карантин.
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Schedule', 4);
     QuarantineFile('c:\program files\active keyboard\hotfiles.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Xdn50.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys','');
     QuarantineFile('c:\windows\system32\cpl32ver.exe','');
     QuarantineFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe','');
     DeleteService('Xdn50');
     DeleteService('tcpsr');
     DeleteService('ati8vgxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xdn50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8vgxx.sys');
     DeleteFile('c:\windows\system32\cpl32ver.exe');
     DeleteFile('C:\Documents and Settings\acid\Local Settings\Application Data\cftmon.exe');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Xdn50');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('ati8vgxx');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    4
    Вес репутации
    34
    c:\program files\active keyboard - сами ставили?
    да

    Вот новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys','');
     DeleteService('ati8twxx');
     DeleteService('ati6svxx');
     DeleteService('ati6oyxx');
     DeleteService('ati6gjxx');
     DeleteService('ati5rcxx');
     DeleteService('ati5hgxx');
     DeleteService('ati3fwxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati8twxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6svxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6oyxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati6gjxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5rcxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5hgxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati3fwxx.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('ati8twxx');
     BC_DeleteSvc('ati6svxx');
     BC_DeleteSvc('ati6oyxx');
     BC_DeleteSvc('ati6gjxx');
     BC_DeleteSvc('ati5rcxx');
     BC_DeleteSvc('ati5hgxx');
     BC_DeleteSvc('ati3fwxx');
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    4
    Вес репутации
    34
    Карантин выслал.
    А вот и новые логи....

    svchost в нет больше не лезут, но по логам вроде не излечилось
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от ac1ddd Посмотреть сообщение
    svchost в нет больше не лезут, но по логам вроде не излечилось
    А что у Вас вызывает подозрения? По моему скромному разумению в логах ничего подозрительного.

  8. #7
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    4
    Вес репутации
    34
    Код:
    Функция NtCreateKey (29) перехвачена (80622048->F74040B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtEnumerateKey (47) перехвачена (80622888->F740984E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F7409BEE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtOpenKey (77) перехвачена (806233DE->F7404090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtQueryKey (A0) перехвачена (80623702->F7409CC6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtQueryValueKey (B1) перехвачена (80620102->F7409B46), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Функция NtSetValueKey (F7) перехвачена (80620708->F7409D58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    Как я понял это dll от daemon'а. Если с ней проблем нет, то действительно все в порядке. Спасибо

  9. #8

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Crypt.ua (DrWEB: BackDoor.Bulknet.237)


  • Уважаемый(ая) ac1ddd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    2. Wigon.CK + Wigon.FJ + Nuwar.CX
      От 12345 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:19
    3. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    4. Wigon.BK, PSW.OnLineGames.NLI, Wigon.BJ
      От art1k в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00201 seconds with 17 queries