И снова Trojan.Rntm.10

[Rasssmus]

Симптомы: загружается из интернета, как только устанавливается подключение.В папке tmp создается файл bn1.tmp или bn2.tmp или bn3.tmp.
В то же мгновение он появляется в Списке процессов Диспетчера задач. И буквально сразу же исчезает и со списка задач и из tmp.

В это же время создается файл в c:\windows\system32\drivers\
с абсолютно произвольными именами с расширением sys. Например winah53.sys или Winuc75.sys. После этого начинается рассылка спама с моего компа.

Одновременно с этим взвывает Др.Веб и благополучно удаляет файл.
Но рассылка спама продолжается.
После перегрузки системы и отключения от сети - ДрВеб ничего не находит.
И как только подсоединяю кабель снова начинается сначала - загрузка вирусняка из инета и т.д.

[Rene-gad]

2 Антивируса -это 1 лишний: удалите любой, так , чтобы только 1 остался.

Скачайте IceSword , поищите и удалите через опцию force delete файлы:

Код:

C:\WINDOWS\system32\WinCtrl32.dll

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{4C579E8B-92F1-44d1-9444-66A4355E9386}');
 DeleteService('Winel42');
 DeleteService('Wingp76');
 DeleteService('Winir11');
 DeleteService('Winjs54');
 DeleteService('Winsc08');
 DeleteService('Wintb75');
 DeleteService('Wintc88');
 DeleteService('Winuc10');
 DeleteService('Winyf86');
 DeleteService('Winyi32');
 DeleteService('Vel86');
 DeleteService('IPFilter');
 QuarantineFile('c:\tmp\Rar$EX30.063\IPFilter_x86.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vel86.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyi32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf86.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wintc88.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb75.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsc08.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winls85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs44.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingp76.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winel42.sys',''); 
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\wincqt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\rozmchild.dll','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winel42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winft27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingp10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingp76.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winir11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjs44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winls85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqy43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsc08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintb75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintc88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyi32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vel86.sys');
 DeleteFile('c:\tmp\Rar$EX30.063\IPFilter_x86.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\wincqt32.dll');
 DeleteFile('C:\WINDOWS\system32\rozmchild.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Rasssmus]

Какие 2 вируса Вы имеете ввиду? Вроде бы один ДрВеб стоит.

[Rene-gad]

Какие 2 вируса Вы имеете ввиду? Вроде бы один ДрВеб стоит.

Действительно Вы правы: Там просто от Симантека какой-то остаток

[Rasssmus]

O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe

Такой сторчки нет

[Rene-gad]

O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe

Может ее и не стало, но была. Можете убедиться, посмотрев Ваш лог из сообщения Номер 1: http://virusinfo.info/showpost.php?p=259881&postcount=1

[Rasssmus]

В карантин ничего не попало. Высылаю новые логи.

А вирус опять цепанулся как только подключился к инету


У меня еще есть такой файл:'C:\WINDOWS\system32\WinCtrl32.dl_ Он не может вредить?

[Rene-gad]

IceSword , поищите и удалите через опцию force delete файлы:

Код:

C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\wincqt32.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_

Если чего-то не обнаружите- не страшно, идите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: wincqt32 - wincqt32.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Ipx42');
 DeleteService('Winuc75');
 DeleteService('Winjs54');
 DeleteService('Winah53');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\wincqt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ipx42.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc75.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winah53.sys','');
 QuarantineFile('wincqt32.dll','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('WLCtrl32.dll','');
 DeleteFile('WLCtrl32.dll');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('wincqt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winah53.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjs54.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc75.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ipx42.sys');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\wincqt32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

Добавлено через 2 минуты

У меня еще есть такой файл:'C:\WINDOWS\system32\WinCtrl32.dl_ Он не может вредить?

Может (см. список файлов на удаление)

[Rasssmus]

необходимо ли после каждой операции удаление, фиксинье, скрипт выполнять перезагрузку? Или достаточно после всех итераций один раз перегрузить?

[Rene-gad]

необходимо ли после каждой операции удаление, фиксинье, скрипт выполнять перезагрузку?

Автоматическая перезагрузка записана в скрипте лечения. После фиксения перегружаться не надо, в противнм случае Вам будет об этом сказано дополнительно.
При выполнении логов по правилам нужно так же перегружаться только там, где это указано.

[Rasssmus]

В карантине снова ничего нет. Прверил ДрВебом при подключенном интете - вирусов не обнаружил. И старт винды намного быстрее стал происходить.

ОГРОМНОЕ СПАСИБО!!!!!!!!!!!!!!!!

На всякий случай привожу окончательные логи

[Rene-gad]

Прверил ДрВебом при подключенном интете - вирусов не обнаружил.

И это не значит, что их нет

IceSword , поищите и удалите через опцию force delete файлы:

Код:

C:\WINDOWS\System32\Drivers\Winjq07.sys

Если чего-то не обнаружите- не страшно, идите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winjq07');
 DeleteService('Google Online Search Service - 2nd');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjq07.sys','');
 QuarantineFile('C:\Program Files\WinService Manager\WinService.exe','');
 QuarantineFile('C:\WINDOWS\system32\winlast.exe','');
 DeleteFile('C:\WINDOWS\system32\winlast.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjq07.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Rasssmus]

карантин снова пустой. Логи здесь.

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True); 
 DeleteService('Eii44');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Eii44.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\Eii44.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]

[Rasssmus]

Карантин пуст Новые логи здесь:

[Rene-gad]

В логах чисто. Какие проблемы остались?

[Rasssmus]

Спасибо большое! Все ОК

[Rene-gad]

Сервис Пак 3 нужно поставить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены