Показано с 1 по 12 из 12.

wigon.bs + hexzone.al (заявка № 42986)

  1. #1
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32

    Thumbs up wigon.bs + hexzone.al

    Периодически ругался нод32 на файлы wigon.bs под разными именами,например:" Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\nicsk32.sys Win32/TrojanDownloader.Wigon.BS Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\rvlka\LOCALS~1\Temp\BN80.tmp" сейчас перестал.
    Теперь находит: "C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll вероятно модифицированный Win32/Hexzone.AL троянская программа Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe"
    помогите
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll','');
     QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
     QuarantineFile('C:\Documents and Settings\rvlka\rvlka.exe','');
     QuarantineFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe');
     BC_DeleteFile('C:\Documents and Settings\rvlka\wdjpvcioubhntagmsyflr.exe');
     DeleteFile('C:\Documents and Settings\rvlka\rvlka.exe');
     BC_DeleteFile('C:\Documents and Settings\rvlka\rvlka.exe');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
     BC_DeleteFile('C:\WINDOWS\system32\digiwet.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\sowwrqu.dll');
     DeleteFile('C:\autorun.inf');
     BC_DeleteFile('C:\autorun.inf');
     DeleteService('port135sik');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('ksi32sk');
     DeleteService('i386si');
     DeleteService('fips32cup');
     DeleteService('ati64si');
     DeleteService('amd64si');
     DeleteService('ws2_32sik');
     DeleteService('acpi32');
     DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    Executerepair(8);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=42986 , как написано в прил.3 правил, и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32
    карантин залил.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=

    в AVZ
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин.

  6. #5
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32
    карантин залил, порнуха все еще в эксплорере(
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Сейчас исчезнет
    В avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll');
     DeleteFile('digiwet.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2 и 3 диагностики повторите.
    В покер играете?

  8. #7
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32
    да, бывает играю) через него вири?
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Просто спросил

    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
    Что с порнухой? всмысле с проблемами?

    P.s. Установите IE 8.

  10. #9
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32
    А то я с испугу програмку покерную уже удалил

    Все отлично! Спасибо огромное!

    п.с. да я firefox юзаю, эксплорер редко

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Ну значит установите все обновления безопасности, вышедшие после SP3.
    Спасибо нажимают, а не говорят.

  12. #11
    Junior Member Репутация
    Регистрация
    01.04.2009
    Сообщений
    6
    Вес репутации
    32
    Нажато))

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 38
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\application data\sowwrqu.dll - Trojan-Ransom.Win32.Hexzone.aij
      2. c:\program files\common files\microsoft shared\web folders\uqrwwos.dll - Trojan-Ransom.Win32.Hexzone.aij
      3. c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bo
      4. c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bn


  • Уважаемый(ая) revelka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Hexzone.AQ
      От Dolphin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.04.2009, 21:35
    2. Троян hexzone
      От НатальяСтр в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.03.2009, 06:32
    3. схватил троян Hexzone.AD
      От eik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.02.2009, 18:45
    4. WIGON, WIGON.S, WIGON.0 - проблема с ними
      От kurand в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:46
    5. Win32/Hexzone.AE
      От СергейЯр в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.02.2009, 13:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01384 seconds with 17 queries