Форум esetnod32.ru [тема: svchost.exe - модифицированный Win32/Wigon-очистка невозможна] http://forum.esetnod32.ru Новое в теме svchost.exe - модифицированный Win32/Wigon-очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:07 +0300 svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Заходите если проблемы будут:) Если рекомендации выполнили, то тему закрываю.
23.10.2012 13:40:30, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54838/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54838/ Tue, 23 Oct 2012 13:40:30 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Огромное вам всем спасибо!!!
После выполнения последнего скрипта и проверки затем НОДом вирусов не обнаружено.
Во вложении - образ автозапуска в uVS после всех манипуляций.
Касперского придется удалить... Рекомендации по актуализации и обновлению ПО и браузеров выполню.
Как то я раньше зря сюда не заглядывал...
Ещё раз огромное спасибо!
ALYONA_2012-10-23_12-30-07.7z
23.10.2012 13:38:47, krabaat.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54835/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54835/ Tue, 23 Oct 2012 13:38:47 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
krabaat пишет:

====quote====
RP55 RP55 пишет:

C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
=============
Скажите пожалуйста, что это (извиняюсь по неосведомленности)
=============
это основное тело Wigon (точнее не основное, а его ангел-хранитель...) + возможно еще и dll есть в системе (возможно будет видна после удаления драйвера)
-----------

====quote====
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
Имя файла OFQ14.SYS
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]

www.virustotal.com 2012-09-02 [2011-12-02 20:00:18 UTC ( 10 months, 3 weeks ago )]
Symantec Downloader
Avast Win32:QHost-CEK [Rtk]
Kaspersky Trojan-Dropper.Win32.Mutant.cp
BitDefender Trojan.Generic.KDV.451904
DrWeb Trojan.Hosts.5006
AntiVir TR/Dldr.Cutwail.S.16
Microsoft TrojanDownloader:Win32/Cutwail.S

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]
Размер 49472 байт
Создан 27.04.2012 в 12:37:46
Изменен 22.10.2012 в 23:25:46
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 61EAC5A912D4115B7B0952A9270BDA37F367D7E8
MD5 EEAD00997932B94D6690C76EEFE9369C

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Ofq14­.sys\

Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Ofq14­.sys\

Ссылка HKLM\System\CurrentControlSet\Services\Ofq14\ImagePath
ImagePath System32\Drivers\Ofq14.sys
Ofq14 тип запуска: На этапе загрузки (0)

=============

23.10.2012 12:20:18, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54825/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54825/ Tue, 23 Oct 2012 12:20:18 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
krabaat
Это вирус.
Выполните скрипт Арвида из сообщения #6
23.10.2012 12:13:27, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54823/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54823/ Tue, 23 Oct 2012 12:13:27 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:

C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
=============
Скажите пожалуйста, что это (извиняюсь по неосведомленности)
23.10.2012 12:03:39, krabaat.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54821/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54821/ Tue, 23 Oct 2012 12:03:39 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните скрипт в uVS:

====quote====
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\DRIVERS\OFQ14.SYS
bl EEAD00997932B94D6690C76EEFE9369C 49472
sreg
delref %Sys32%\DRIVERS\OFQ14.SYS
areg
=============

23.10.2012 12:03:13, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54820/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54820/ Tue, 23 Oct 2012 12:03:13 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте ещё раз,
Спасибо за то что откликнулись с помощью. В uVS скрипт выполнил. После перезагрузки проблема осталась.
Причем Mbam ничего не нашла.
Лог Mbam во вложении (mbam-log-2012-10-23 (10-40-26).
Также во вложении лог журнала обнаружения угроз threat.txt
Прошу прощения за вопрос о дальнейших моих действиях.
mbam-log-2012-10-23 (10-40-26).txt
threat.txt
23.10.2012 12:02:04, krabaat.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54819/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54819/ Tue, 23 Oct 2012 12:02:04 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
C:\WINDOWS\SYSTEM32\DRIVERS\OFQ14.SYS
23.10.2012 11:55:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54816/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54816/ Tue, 23 Oct 2012 11:55:07 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+
два антивируса не есть хорошо,

====quote====
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\AVP.EXE
=============
лучше деинсталлировать Касперского. если он у вас находится на "подпольном положении". (т.е. вы не знаете о его существовании.)
23.10.2012 06:13:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54800/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54800/ Tue, 23 Oct 2012 06:13:25 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
zoo %Sys32%\JPGTOBMP.EXE
bl 9A6230519ABCD45AC6349DCBA9CCBEE3 104448
addsgn 925277FA176AC1CC0B64534E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B3546543E021E8A2FD3EC8A0B1749ACFE1CEC21051DB32F2D75A47A5796B2E3 8 Win32.Jorik.Buterat.azk [Kaspersky]
bl A9488F7875EEF0C754CAFDFDBB827C1B 2324
delall %Sys32%\LINKDEL.CMD
chklst
delvir
deltmp
delnfr
delref HTTP://E.MAIL.RU/CGI-BIN/MSGLIST
delref HTTP://START.FUNMOODS.COM/?F=1&A=PVL
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
23.10.2012 02:23:01, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54799/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54799/ Tue, 23 Oct 2012 02:23:01 +0400 Обнаружение вредоносного кода и ложные срабатывания svchost.exe - модифицированный Win32/Wigon-очистка невозможна svchost.exe - модифицированный Win32/Wigon-очистка невозможна Помогите справиться с проблемой в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте, помогите если можно.
При сканировании компьютера жены такое сообщение:
Оперативная память = svchost.exe(1300) - модифицированный Win32/Wigon троянская программа - очистка невозможна
Как удалить его?
До НОДа, иные антивирусы к сожалению не могли найти вирус, только НОД обнаружил но лечить невозможно.
В приложении - образ автозапуска в uVS
Заранее благодарен
ALYONA_2012-10-22_23-30-27.7z
23.10.2012 00:46:51, krabaat.]]> http://forum.esetnod32.ru/messages/forum6/topic7366/message54798/ http://forum.esetnod32.ru/messages/forum6/topic7366/message54798/ Tue, 23 Oct 2012 00:46:51 +0400 Обнаружение вредоносного кода и ложные срабатывания