Win32/TrojanDownloader.Wigon.BS Помогите удалить с компьютера!

**Tinatin** · 19.05.2009, 19:37

Помогити! Меня атакует TrojanDownloader.Wigon.BS. Nod32 отражает и так несколько часов. Вылечить или убить нельзя, ведь когда комп подключьон к нету, атаки есть, отключаю - атак нет, глубокое сканирование ничего не видит.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Tinatin** · 19.05.2009, 19:47

Помогите пожалуйста вылечиться

**V_Bond** · 19.05.2009, 21:39

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('port135sik');
 QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
 DeleteService('nicsk32');
 QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
 QuarantineFile('C:\WINDOWS\system32\afd.dll','');
 DeleteService('i386si');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 DeleteService('fips32cup');
 QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
 DeleteService('43CE4EF6D23A6078');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078','');
 DeleteService('acpi32');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 DeleteService('SCPDFReadSpool');
 QuarantineFile('C:\WINDOWS\Installer\MSIB35.tmp','');
 QuarantineFile('c:\documents and settings\admin\admin.exe','');
 DeleteFile('c:\documents and settings\admin\admin.exe');
 DeleteFile('C:\WINDOWS\Installer\MSIB35.tmp');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**Tinatin** · 19.05.2009, 22:25

повторные логи

**Tinatin** · 21.05.2009, 15:54

Спасибо за помощь, вирус больше не дает о себе знать))))

**Aleksandra** · 22.05.2009, 13:21

Скачайте AVZ который у меня в подписи и далее работайте только с ним!

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 DeleteFile('C:\WINDOWS\system32\afd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('43CE4EF6D23A6078');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('navigator'); 
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

**Tinatin** · 22.05.2009, 14:10

Выкладываю

**Aleksandra** · 22.05.2009, 22:46

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\43CE4EF6D23A6078\43CE4EF6D23A6078');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('43CE4EF6D23A6078');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

Добавлено через 2 минуты

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C5A3EC2-B507-402A-9378-8BBDA6E0BB78}: NameServer = 192.168.1.1,195.5.46.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250

Эти адреса Вам известны? Если нет, то пофиксите.

**Tinatin** · 24.05.2009, 22:11

Лог. Сейчас буду фиксить

**Tinatin** · 24.05.2009, 23:11

Пофиксила, как указанно при переходе по ссылке, предоставленной Вами, но мне выдало просто чистый белый лист. Не знаю, может я что-то не так сделала, так как делала это первый раз.

Добавлено через 45 минут

После перезагрузки, проделала процедуру еще раз. Был обноружен только O17 - HKLM\System\CCS\Services\Tcpip\..\{EF78E6FE-FA4E-429D-B416-B6ACC875E435}: NameServer = 82.207.66.249 82.207.66.250. Когда нажала "Fix Checked", появился опять белый лист. Каким должен быть результат, я не знаю.

**V_Bond** · 24.05.2009, 23:39

сделайте полный комплект логов ...

**Tinatin** · 25.05.2009, 00:00

логи

**V_Bond** · 25.05.2009, 00:33

Ukrtelecom Kiev - ваш провайдер ?

**Tinatin** · 25.05.2009, 09:30

Использую ОГО, в г.Луганск

**Aleksandra** · 25.05.2009, 21:30

Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

**Tinatin** · 26.05.2009, 10:45

Gmer.log

**Aleksandra** · 26.05.2009, 23:10

Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.

Код:

gmer.exe -del service 43CE4EF6D23A6078
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Type"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@Start"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ErrorControl"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078@ImagePath"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\43CE4EF6D23A6078\Security@Security"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\43CE4EF6D23A6078\Security@Security"       
gmer -reboot

**Tinatin** · 28.05.2009, 02:14

Извините, я понимаю, что задаю глупый вопрос, но подскажите пожалуйста, как это сделать. Спасибо!

**pig** · 28.05.2009, 02:56

То, что в рамочке - выделить мышью. Затем - Ctrl+C (скопировать в буфер).
Позвать Блокнот, в нём сделать Ctrl+V (вставить из буфера).
Затем, в Блокноте же - Ctrl+S (сохранить). Выберите каталог, где у вас лежит gmer.exe, имя файла укажите "start.bat" (обязательно с кавычками).
Закрываете Блокнот, идёте в каталог, куда сохранили файл, видите там командный файл MS-DOS с именем start. Запускаете его двумя щелчками мыши.