Показано с 1 по 11 из 11.

Win32/Wigon.LV (заявка № 51521)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54

    Exclamation Win32/Wigon.LV

    Здравствуйте.

    На компьютере установлен и постоянно обновляется антивирус NOD32.
    Антивирус уже третий день ругается на вирус в файле %WINDOWS%/system32/drivers/ntfs.sys .
    Естественно, ничего сделать не может. Чем больше времени проходит, тем больше ругани появляется на разные файлы.
    При запуске проверки памяти компьютера программой CureIt от DrWeb система выпадает в синий экран. На синем экране постоянно фигурирует разный файл, имя которого явно сгенерировано рандомно.

    Помогите, пожалуйста, вылечиться.

    P.S. virusinfo_cure.zip пуст.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Диск с дистрибутивом имеется?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\wpv981249321620.exe','');
    DeleteFile('C:\WINDOWS\Temp\wpv981249321620.exe');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54
    Проблема осталась.
    ntfs.sys, figaro.sys, braviax.exe всплывают в уведомлениях NOD32.
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Карантин где?

    Файл C:\WINDOWS\system32\Drivers\Ntfs.sys нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    -На приглашение введите строку:
    Код:
    expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва, где лежит дистрибутив.
    Переписывание подтвердите.
    -Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    -Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    Пока это не сделать, лечиться дальше бесполезно. Именно этот файл загружает Вам старину Braviax'a
    В этих логах figaro.sys, braviax.exe не видны пока
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54
    Спасибо. KNOPPIX помог.
    Уже CureIt вышел на тропу войны и никто не осмеливается при этом крэшнуть систему.
    После работы CureIt перезагрузиться и снова запустить на выполнение скрипт в AVZ ?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Нет, сделать новый комплект логов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54
    Готово.
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по п. 2 и 3 диагностики
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54
    А вот нету C:\WINDOWS\system32\regedit.exe .
    Не знаю на каком этапе он пропал.
    При этом в реестре, в автозагрузке, где его находил Hijackthis, его тоже нет, зато был параметр braviax с пустым значением.
    Есть:
    C:\WINDOWS\system32\regedt32.exe (3584 bytes)
    C:\WINDOWS\regedit.exe (148992 bytes)
    Вроде как размер соответствует оригиналу.

    Вот новый лог от Hijackthis:
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Yarik Посмотреть сообщение
    C:\WINDOWS\system32\regedt32.exe (3584 bytes)
    C:\WINDOWS\regedit.exe (148992 bytes)
    Это нормальные системные файлы

    По предоставленному логу ничего плохого
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    8
    Вес репутации
    54
    Огромное спасибо за помощь!

  • Уважаемый(ая) Yarik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Wigon.KT и Win32/TrojanDownloader.Wigon.BS
      От _Natalia_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2009, 13:52
    2. Win32/Wigon.KT, Win32/TrojanDownloader.Wigon.BS
      От tov-serjant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.06.2009, 08:54
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:50
    4. Win32/Wigon.GM и Win32/Wigon.BY как вылечить?
      От Evgenich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:54
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00423 seconds with 20 queries