Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] svchost.exe - модифицированный Win32/Wigon-очистка невозможна , Помогите справиться с проблемой

1 2 След.
RSS
 
krabaat
krabaat
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.10.2012
Размещено 23.10.2012 00:46:51
Здравствуйте, помогите если можно.
При сканировании компьютера жены такое сообщение:
Оперативная память = svchost.exe(1300) - модифицированный Win32/Wigon троянская программа - очистка невозможна
Как удалить его?
До НОДа, иные антивирусы к сожалению не могли найти вирус, только НОД обнаружил но лечить невозможно.
В приложении - образ автозапуска в uVS
Заранее благодарен
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 23.10.2012 02:23:01
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
zoo %Sys32%\JPGTOBMP.EXE
bl 9A6230519ABCD45AC6349DCBA9CCBEE3 104448
addsgn 925277FA176AC1CC0B64534E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B3546543E021E8A2FD3EC8A0B1749ACFE1CEC21051DB32F2D75A47A5796B2E3 8 Win32.Jorik.Buterat.azk [Kaspersky]
bl A9488F7875EEF0C754CAFDFDBB827C1B 2324
delall %Sys32%\LINKDEL.CMD
chklst
delvir
deltmp
delnfr
delref HTTP://E.MAIL.RU/CGI-BIN/MSGLIST
delref HTTP://START.FUNMOODS.COM/?F=1&A=PVL
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 23.10.2012 06:13:25
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+
два антивируса не есть хорошо,
Цитата
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\AVP.EXE
лучше деинсталлировать Касперского. если он у вас находится на "подпольном положении". (т.е. вы не знаете о его существовании.)
Изменено: santy - 23.10.2012 06:28:34
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 23.10.2012 11:55:07
C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
 
krabaat
krabaat
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.10.2012
Размещено 23.10.2012 12:02:04
Здравствуйте ещё раз,
Спасибо за то что откликнулись с помощью. В uVS скрипт выполнил. После перезагрузки проблема осталась.
Причем Mbam ничего не нашла.
Лог Mbam во вложении (mbam-log-2012-10-23 (10-40-26).
Также во вложении лог журнала обнаружения угроз threat.txt
Прошу прощения за вопрос о дальнейших моих действиях.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 23.10.2012 12:03:13
Выполните скрипт в uVS:
Цитата
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\DRIVERS\OFQ14.SYS
bl EEAD00997932B94D6690C76EEFE9369C 49472
sreg
delref %Sys32%\DRIVERS\OFQ14.SYS
areg
Правильно заданный вопрос - это уже половина ответа
 
krabaat
krabaat
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.10.2012
Размещено 23.10.2012 12:03:39
Цитата
RP55 RP55 пишет:

C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
Скажите пожалуйста, что это (извиняюсь по неосведомленности)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 23.10.2012 12:13:27
krabaat
Это вирус.
Выполните скрипт Арвида из сообщения #6
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 23.10.2012 12:20:18
Цитата
krabaat пишет:
Цитата
RP55 RP55 пишет:

C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
Скажите пожалуйста, что это (извиняюсь по неосведомленности)
это основное тело Wigon (точнее не основное, а его ангел-хранитель...) + возможно еще и dll есть в системе (возможно будет видна после удаления драйвера)
-----------
Цитата
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
Имя файла OFQ14.SYS
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]

www.virustotal.com 2012-09-02 [2011-12-02 20:00:18 UTC ( 10 months, 3 weeks ago )]
Symantec Downloader
Avast Win32:QHost-CEK [Rtk]
Kaspersky Trojan-Dropper.Win32.Mutant.cp
BitDefender Trojan.Generic.KDV.451904
DrWeb Trojan.Hosts.5006
AntiVir TR/Dldr.Cutwail.S.16
Microsoft TrojanDownloader:Win32/Cutwail.S

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]
Размер 49472 байт
Создан 27.04.2012 в 12:37:46
Изменен 22.10.2012 в 23:25:46
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 61EAC5A912D4115B7B0952A9270BDA37F367D7E8
MD5 EEAD00997932B94D6690C76EEFE9369C

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Ofq14­.sys\

Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Ofq14­.sys\

Ссылка HKLM\System\CurrentControlSet\Services\Ofq14\ImagePath
ImagePath System32\Drivers\Ofq14.sys
Ofq14 тип запуска: На этапе загрузки (0)
Изменено: santy - 23.10.2012 12:41:29
[ Как создать образ автозапуска? ]
 
krabaat
krabaat
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.10.2012
Размещено 23.10.2012 13:38:47
Огромное вам всем спасибо!!!
После выполнения последнего скрипта и проверки затем НОДом вирусов не обнаружено.
Во вложении - образ автозапуска в uVS после всех манипуляций.
Касперского придется удалить... Рекомендации по актуализации и обновлению ПО и браузеров выполню.
Как то я раньше зря сюда не заглядывал...
Ещё раз огромное спасибо!
Изменено: krabaat - 23.10.2012 13:39:34
 
1 2 След.
Читают тему