Показано с 1 по 6 из 6.

Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS (заявка № 48646)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    16
    Вес репутации
    35

    Thumbs up Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS

    комп словил Win32/Wigon. Прошу проверить результаты лечения
    Вложения Вложения
    Последний раз редактировалось Bratez; 25.06.2009 в 07:14. Причина: убрал лишнее вложение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\LoviVkontakte\VkontakteService.exe','');
     QuarantineFile('C:\LoviVkontakte\lovivkontakte.exe','');
     QuarantineFile('C:\WINDOWS\ZSSnp211.exe','');
     DelBHO('{7558B7E5-7B26-4201-BEDB-00D5FF534523}');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     SetServiceStart('i386si', 4);
     BC_DeleteSvc('i386si');
     SetServiceStart('ati64si', 4);
     BC_DeleteSvc('ati64si');
     SetServiceStart('amd64si', 4);
     BC_DeleteSvc('amd64si');
     SetServiceStart('acpi32', 4);
     BC_DeleteSvc('acpi32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Файл "hosts" сами изувечили?
    Код:
    88.198.72.190 css.yandex.net #AdwMtam_MicroSoft
    127.0.0.1 vkontakte.ru
    127.0.0.1 www.vkontakte.ru
    3.Повторить логи
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    16
    Вес репутации
    35
    1. Сделал
    2. hosts почистил. Изувечил не я
    3. Сделал
    4. ess4 орёт на
    24.06.2009 22:17:51 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temporary Internet Files\Content.IE5\RWG4CVB2\load[1].exe Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:17:51 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:17:25 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:17:25 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temp\RarSFX1\install.exe Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:17:24 Защита в режиме реального времени файл C:\Documents and Settings\Mike\Local Settings\Temp\~TM88.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:17:24 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_raw.tmp Win32/TrojanDownloader.Bredolab.AA троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 22:09:22 Защита в режиме реального времени файл C:\DOCUME~1\Mike\LOCALS~1\Temp\avz_1688_1.tmp Win32/Rustock.NJB троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    24.06.2009 21:57:54 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vdqxnjyx.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован HOME\Mike Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Mike\Рабочий стол\avz4\av.exe.
    Вложения Вложения
    Последний раз редактировалось Bratez; 25.06.2009 в 07:15. Причина: убрал лишнее вложение и оверквотинг

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Файл virusinfo_cure.zip в тему прикреплять нельзя!
    Читайте правила внимательнее.

    Очистите папки:
    C:\Documents and Settings\Mike\Local Settings\Temp
    C:\WINDOWS\Temp.

    Удалите временные файлы IE через Свойства обозревателя.

    На будущее: выполняя скрипты в AVZ, отключайте антивирус!
    Вот например:
    24.06.2009 21:57:54 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vdqxnjyx.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован
    а это был драйвер AVZ!

    Что за программка LoviVkontakte?
    Ее лучше деинсталлировать, уж очень она подозрительная.
    VkontakteService.exe - Trojan.Win32.Qhost.lqw (ЛК)
    в то время как lovivkontakte.exe - чистый...

    Больше ничего плохого в логах не видно.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    16
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    Файл virusinfo_cure.zip в тему прикреплять нельзя!
    Читайте правила внимательнее.

    Очистите папки:
    C:\Documents and Settings\Mike\Local Settings\Temp
    C:\WINDOWS\Temp.

    Удалите временные файлы IE через Свойства обозревателя.

    Сделано

    На будущее: выполняя скрипты в AVZ, отключайте антивирус!

    он те отключался, вылетал с ошибкой ekrnl

    Вот например:

    а это был драйвер AVZ!

    Что за программка LoviVkontakte?
    Ее лучше деинсталлировать, уж очень она подозрительная.
    VkontakteService.exe - Trojan.Win32.Qhost.lqw (ЛК)
    в то время как lovivkontakte.exe - чистый...

    Сделано

    Больше ничего плохого в логах не видно.
    СПАСИБО

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\lovivkontakte\vkontakteservice.exe - Trojan.Win32.Qhost.lqw


  • Уважаемый(ая) tov-serjant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 12:52
    2. Win32/Wigon, Win32/IRCBot.ADZ, Win32/TrojanDownloader.Agent.ORH
      От Seleniy в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2009, 19:47
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. win32/TrojanDownloader.Wigon.s
      От lixolet в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:44
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00565 seconds with 17 queries