Показано с 1 по 11 из 11.

Помогите избавиться от Wigon.GM и TrojanDownloader.FakeAlert.PA (заявка № 35592)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33

    Thumbs up Помогите избавиться от Wigon.GM и TrojanDownloader.FakeAlert.PA

    Стоит антивирус нод. Со вчерашнего дня начал выдавать тревогу с этими двумя вирусами. И информацией что файлы (каждый раз с разными имеами, но схожими корнями) помещены в карантин. После этого выскакивает сообщение об ошибке cvhost.exe, и это сообщение появляется вновь и вновь до бесконечности.
    Вложения Вложения
    Последний раз редактировалось prostoaf; 13.12.2008 в 13:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
    O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
    O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
    O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
    O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
    O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
    BC_ImportDeletedList;
     BC_DeleteSvc('GarenaPEngine');
     BC_DeleteSvc('ati8xexx');
     BC_DeleteSvc('ati8syxx');
     BC_DeleteSvc('ati8rxxx');
     BC_DeleteSvc('ati8pvxx');
     BC_DeleteSvc('ati8nuxx');
     BC_DeleteSvc('ati8jpxx');
     BC_DeleteSvc('ati8gmxx');
     BC_DeleteSvc('ati8cixx');
     BC_DeleteSvc('ati8bhxx');
     BC_DeleteSvc('ati8agxx');
     BC_DeleteSvc('ati7saxx');
     BC_DeleteSvc('ati7ovxx');
     BC_DeleteSvc('ati7msxx');
     BC_DeleteSvc('ati7lsxx');
     BC_DeleteSvc('ati6vdxx');
     BC_DeleteSvc('ati6vcxx');
     BC_DeleteSvc('ati6msxx');
     BC_DeleteSvc('ati6gnxx');
     BC_DeleteSvc('ati5ntxx');
     BC_DeleteSvc('ati5cixx');
     BC_DeleteSvc('ati4taxx');
     BC_DeleteSvc('ati4syxx');
     BC_DeleteSvc('ati4qwxx');
     BC_DeleteSvc('ati4ntxx');
     BC_DeleteSvc('ati3xexx');
     BC_DeleteSvc('ati3wdxx');
     BC_DeleteSvc('ati3rxxx');
     BC_DeleteSvc('ati3jqxx');
     BC_DeleteSvc('ati3hnxx');
     BC_DeleteSvc('ati3flxx');
     BC_DeleteSvc('ati2xfxx');
     BC_DeleteSvc('ati2vdxx');
     BC_DeleteSvc('ati2ubxx');
     BC_DeleteSvc('ati2syxx');
     BC_DeleteSvc('ati2qwxx');
     BC_DeleteSvc('ati2ntxx');
     BC_DeleteSvc('ati2lsxx');
     BC_DeleteSvc('ati2hnxx');
     BC_DeleteSvc('ati2gmxx');
     BC_DeleteSvc('ati2agxx');
     BC_DeleteSvc('ati1taxx');
     BC_DeleteSvc('ati1lrxx');
     BC_DeleteSvc('ati1ipxx');
     BC_DeleteSvc('ati1agxx');
     BC_DeleteSvc('ati0qxxx');
     BC_DeleteSvc('ati0qwxx');
     BC_DeleteSvc('ati0ouxx');
     BC_DeleteSvc('ati0msxx');
     BC_DeleteSvc('ati0jpxx');
     BC_DeleteSvc('ati0hnxx');
     BC_DeleteSvc('ati0agxx');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=35592).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33
    Извиняюсь если что то делаю не так (не в те ветки попадают ответы, или еще какието нубские недочеты), я крайне редко пользуюсь форумами и все делаю интуитивно. Теперь о деле. Все вроде сделал как в инструкции.все файлы обновленные прилагю. Смущает что в процессе обработки программами AVZ и еже с ними нод продолжает находить новые объекты причем сценарии где находятся объекты и последующие ошибки svhostaменяются. Вот.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от prostoaf Посмотреть сообщение
    в процессе обработки программами AVZ и еже с ними нод продолжает находить новые объекты
    Ну да, хорош на готовенькое, где он раньше-то был - непонятно!

    В правилах же сказано - при выполнении скриптов в AVZ ваш антивирус должен быть выключен!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati0vdxx.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0vdxx.sys');
    BC_ImportALL;
     BC_DeleteSvc('ati6yfxx');
     BC_DeleteSvc('ati2ekxx');
     BC_DeleteSvc('ati1ryxx');
     BC_DeleteSvc('ati0vdxx');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33
    Из за частых перезагрузок не проконтролировал включенность нода. Сейчас все сделал при отключенном. И уже есть первые резельтаты. Ошибка svhost не появляется. может затаилась В любом случае вы молодцы. СПС
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33
    Рано обрадывался ... таки затаилась ошибка

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Хм, этот клоп опять на месте!
    Давайте попробуем способ, описанный здесь:
    http://virusinfo.info/showthread.php?t=17228
    Удалять нужно файл
    C:\WINDOWS\System32\Drivers\ati0vdxx.sys
    и не перезагружаясь, сразу после этого, выполнить скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\System32\Drivers\ati0vdxx.sys');
    BC_ImportALL;
    BC_DeleteSvc('ati0vdxx');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки повторите лог syscheck (п.2 раздела Диагностика).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33
    Как говорил один книжный герой Юми - "Вот так собака".
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Ничего зловредного в логах нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    13.12.2008
    Сообщений
    13
    Вес репутации
    33
    Человеческое вам спасибо (несколько реверансов) Видать человек который меня вёл уже спит, владивосток как никак. Приятных снов.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\services.exe - Trojan-Spy.Win32.Agent.fml (DrWEB: BackDoor.Spm.2)
      2. c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.avei (DrWEB: BackDoor.Bulknet.320)


  • Уважаемый(ая) prostoaf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавиться от Win32/AutoRun.FakeAlert.M
      От Музык@нт в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.11.2009, 18:19
    2. Помогите избавиться от Win32/AutoRun.FakeAlert.CH
      От Музык@нт в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 09.09.2009, 14:15
    3. помогите избавиться от червя AutoRun.FakeAlert.M
      От osenne_ja в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 21:38
    4. Помогите избавиться от Win32/AutoRun.FakeAlert.AF
      От Сергей А.A в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 19.06.2009, 02:57
    5. Помогите! TrojanDownloader.Wigon.BS
      От toqucaj в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.06.2009, 21:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00621 seconds with 17 queries