Показано с 1 по 9 из 9.

Трояны Win32Wigon.CK и Win32Wigon.GC (заявка № 32817)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    34

    Thumbs up Трояны Win32Wigon.CK и Win32Wigon.GC

    Здравствуйте.

    При подключении к интернету NOD32 выдает сообщение о найденном трояне Win32/Wigon.CK в файле, который каждый раз новый. Например, C:\WINDOWS\System32\drivers\Winrx16.sys.
    Пишет, что троян изолирован - удален. Однако, происходит бесконтрольные прием/отправка пакетов с ПК в сеть, до тех пор пока не разорвать подключенние.
    Событие в новом файле, созданном приложением (тоже каждый раз новое) C:\WINDOWS\TEMP\BN50.tmp.
    Первое сообщение выдано 08.10.2008.
    Подозреваю виновником программу Uniblue - DriverScanner2009, поскольку даты посещения http://download.uniblue.com/aff/ds/DriverScanner.exe и первого предупреждения NOD32 совпадают.
    Кроме того, один раз (10.10.200 NOD32 выдал сообщение "Ядро файл c:\docume~1\9335~1\locals~1\temp\winezypnj.exe Win32/Wigon.GC троян Обнаружена инфекция при проверке файлов, запускаемых при старте системы".

    Прошу Вас помочь.
    Проверку с помощью NOD32 и AVPTool выполнил.
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\rnuel.exe \s
    O20 - Winlogon Notify: avicore - avicore.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O20 - Winlogon Notify: __c006E9F0 - __c006E9F0.jpg (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteService('Winvc40');
     DeleteService('Winuc28');
     DeleteService('Winub16');
     DeleteService('Winsy27');
     DeleteService('Winqw73');
     DeleteService('Winqv51');
     DeleteService('Winpv27');
     DeleteService('Winnt51');
     DeleteService('Winnt38');
     DeleteService('Winnt16');
     DeleteService('Winlr27');
     DeleteService('Winkq53');
     DeleteService('Winkq41');
     DeleteService('Winag40');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winub16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq53.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winag40.sys','');
     DeleteService('Jpu51');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu51.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jpu51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq53.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlr27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnt16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnt38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnt51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsy27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winub16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuc28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvc40.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('avicore.dll');
     DeleteFile(',C:\Documents and Settings\Администратор\rnuel.exe');     
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    34
    Карантин переслал. Логи повторил.
    Спасибо.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winhn62.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winrx16');
     DeleteService('Winhn62');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winhn62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx16.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Winrx16');
    BC_DeleteSvc('Winhn62');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    34
    1. Извините возможно за непонятливость, но выделить и соответственно удалить одновременно (без перезагрузки) оба файла не выходит. Могу только так: один - перезагрузка, затем второй - перезагрузка. Хотел спросить, может надо как-то именно оба?

    2. И еще один момент ... может существенный ... перед запуском AVZ и получением virusinfo_syscure.zip я отключаюсь от Инета, а перед вторым запуском AVZ и получением virusinfo_syscheck.zip, а также запуском HijackThis и получением его лога, подключаюсь (согласно правилам on-line. В правилах для скачивания об этом не говорится). Это правильно?

    Спасибо большое за помощь.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    После нажатия Force Delete самому ребутить систему не нужно, скрипт ее потом сам перезагрузит, просто нажали по каждому файлу и все...

  8. #7
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    34
    Все выполнил.
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Пофиксить

    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    В логах чисто...

  10. #9
    Junior Member Репутация
    Регистрация
    11.10.2008
    Сообщений
    10
    Вес репутации
    34
    Да, NOD больше не выступает , трафик без надобности не идет...ОГРОМНОЕ ВАМ СПАСИБО, ГРИГОРИЙ, ЛИЧНО! Вы прихлопнули эту тварь ))PS: пойду в SMS копилку делать добрые дела, а потом менять все пароли.Спасибо вам еще раз и удачи по жизни )

  • Уважаемый(ая) Lesmo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На rb.ru трояны!
      От Antimalware в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 23.05.2010, 18:29
    2. трояны
      От vanda в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 09:08
    3. Trojan.Dowload и Win32Wigon.CK trojan
      От Fate в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:22
    4. Win32Wigon.AX троян
      От SingifineS в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:14
    5. PSW трояны
      От user9 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00017 seconds with 17 queries