WinNT32.dll

[Borsch]

В файле WinNT32.dll обнаружен троян. Антивир каждый раз обнаруживает его и обезвреживает, но безрезультатно, после перезагрузки все повторяется. Также имеется подозрительный файл Buffon.exe
Выполняя пункт 8 Ваших требований комп выполняет стандартный скрипт - потом все обрывается, синий экран и перезагрузка, в логах virusinfo_syscure.zip не сохраняется, не знаю с чем это связано - пробовал несколько раз. 2 других лога прикрепляю.
Подскажите что делать...

[Rene-gad]

Прочитайте тут и удалите через опцию force delete

Код:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WLCtrl32.dll

1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [advap32] C:\WINDOWS\TEMP\7B48.tmp/r
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ïåòð\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)

5. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\buffoon.exe');
 DeleteService('cgJ60');
 DeleteService('Jnr50');
 DeleteService('aeH36');
 DeleteService('chK60');
 DeleteService('Rvy04');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('C:\Buffoon.exe','');
 QuarantineFile('c:\buffoon.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\cgJ60.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jnr50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\aeH36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\chK60.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rvy04.sys','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
 QuarantineFile('C:\Documents and Settings\Петр\cftmon.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\7B48.tmp/r','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\kdgdi.exe','');
 QuarantineFile('kdgdi.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys','');
 QuarantineFile('Lch30.sys','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
 DeleteFile('Lch30.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys');
 DeleteFile('kdgdi.exe');
 DeleteFile('C:\WINDOWS\system32\kdgdi.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\TEMP\7B48.tmp/r');
 DeleteFile('C:\Documents and Settings\Петр\cftmon.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rvy04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\chK60.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\aeH36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DeleteFile('c:\buffoon.exe');
 DeleteFile('C:\Buffoon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин по красной ссылке вверху темы
8. Повторите логи.

[Borsch]

Карантин отправил, с логами та же беда. При выполнении 1го скрипта комп перезагружается и скрипт не сохраняет.

[Rene-gad]

1.Отключите Антивирус и файрволл
2.Отключите системное востановление.
3. Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

4. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelWinlogonNotifyByFileName('WinCtrl32.dll ')
 DeleteService('Jnr50');
 DeleteService('cgJ60');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Lch30.sys','');
 QuarantineFile('Lch30.sys','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
 DeleteFile('Lch30.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lch30.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
5. Очистите темп-папки и кэш проводников.
6. Закачайте карантин по красной ссылке вверху темы
7. Повторите логи начиная от стандартного скрипта 2

[Borsch]

Строчку O20 - Winlogon Notify - пофиксил.
При выполнении скрипта происходит тоже самое, что при выполнении 1го лога идет процесс, потом синий экран и перезагрузка. Пробовал несколько раз. В карантин, который я вам отправил, вроде бы ничего не добавилось. Кстати в скрипте в 4й строчке пропущена ';' и выдается при выполнении ошибка.

[Borsch]

Вот логи.

[V_Bond]

в IceSword удалите ....
C:\WINDOWS\system32\Drivers\cgJ60.sys
C:\WINDOWS\system32\Drivers\Jnr50.sys
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 BC_DeleteSvc('Jnr50');
 BC_DeleteSvc('cgJ60');
 QuarantineFile('Lch30.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\cgJ60.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
 DeleteFile('Lch30.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Borsch]

Карантин отправил (в т.ч. и вчерашние файлы).Вот логи, их опять только 2.
Скрипт лечения/карантина и сбора информации для раздела "Помогите!" никак не хочет сохранять в логи.
В карантин почему то только 1 файл добавился...

Возможно, я что то не так делаю? Может антивир не отключать?

[PavelA]

Удалить в "мече":
Lch30.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Сразу же профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Затем скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('Lch30.sys','');
 DeleteService('Jnr50');
 DeleteService('cgJ60');
 DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Далее снова сделать логи.

Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод. Тоже самое с фаерваллами. Их похоже тоже два стоит.

[Borsch]

Все выполнил, как написано. Выслал карантин за сегодня (вчерашний и позавчерашний не отправлял). Наконец то выполнился скрипт лечения. Прикрепляю логи. Посмотрите что там...
Еще в логах появился файл virusinfo cure.zip не знаю зачем он нужен.

Из антивирей стоит только панда со всеми ее приложениями.

[PavelA]

virusinfo cure.zip - присылается по запросу(карантин)

[Borsch]

Посмотрите, пожалуйста, в карантине лог virusinfo_cure.
Комп по прежнему тормозит: explorer виснит, особенно когда CD загружаю, не грузится Firebird Guardian (его вообще почему то в службах не видно).
Подскажите как последние загруженные логи....

[PavelA]

Повторю совет:
Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод.
Какой из них с лицензией, того и нужно оставить.

Это должно решить проблему с тормозами.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\autorun.inf - Worm.Win32.Delf.ge (DrWEB: Win32.HLLW.Autoruner.1797)
  2. c:\\buffoon.exe - Worm.Win32.Delf.hr (DrWEB: Win32.HLLW.Buffoon)
  3. c:\\windows\\system32\\drivers\\aeh36.sys - Trojan-Dropper.Win32.Agent.stj
  4. c:\\windows\\system32\\drivers\\chk60.sys - Trojan-Dropper.Win32.Agent.stj
  5. c:\\windows\\system32\\kdgdi.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
  6. d:\\autorun.inf - Worm.Win32.Delf.ge (DrWEB: Win32.HLLW.Autoruner.1797)