Win32.Trojn Downloader.Wigon.BS

[lawyer]

Периодически в папках system32, Temp, находит зараженные файлы с дурацкими именами типа ksi32sk.sys, systemntmi.sys, i386si.sys и т.д.

Эти файлы копируются в карантин, но через некоторое время появляются снова.

Также примечательно то, что сразу после уведомления о вирусе, firewall орет, что svchost.exe пытается соединиться с и-нетом.

Самих же процесов svchost.exe, кстати, стало очень много 5-10 штук.

 

Из других симптомов можно выделить то, что глючит комп и, самое плохое - при подключении любого устройства начиная от флешки до сканнера комп виснет намертво.

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\home\home.exe'); 
QuarantineFile('c:\documents and settings\home\home.exe','');
DeleteFile('c:\documents and settings\home\home.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Повторите логи

[lawyer]

спасибо, проблема с уведомлением о вирусах решена, но стоит воткнуть в usb флешку или включить в розетку сканнер, то комп виснет...

 

Логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

вы ответ на письмо от newvirus получали?

[lawyer]

вы ответ на письмо от newvirus получали?

Hello,

 

 

abFD4.dll, Uploader.exe_

 

No malicious code were found in these files.

 

home.exe_ - Trojan.Win32.Agent2.hpa

 

This file is already detected. Please update your antivirus bases.

 

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

 

Сообщение от модератора MedvedevUnited

Удалил имя вирусного аналитика.

Изменено 15 апреля, 2009 пользователем MedvedevUnited