Показано с 1 по 6 из 6.

Trojan.RNTM.10 (заявка № 25342)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59

    Exclamation Trojan.RNTM.10

    Помогите избавиться от этого вируса, который каждый раз после перезагрузки появляется в папке drivers под разными именами - в частности - winao55.sys
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью Hijackthis строки:
    Код:
    O4 - HKLM\..\Run: [BMonq] C:\WINDOWS\system32\bmonq.exe
    O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('C:\WINDOWS\system32\bmonq.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Xnq55.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmm55.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('c:\windows\services.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winao55.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys');
     DeleteFile('C:\WINDOWS\system32\bmonq.exe');
     BC_DeleteFile('C:\WINDOWS\system32\bmonq.exe');
     DeleteFile('c:\windows\services.exe');
     BC_DeleteFile('c:\windows\services.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys');
     DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr');
     BC_DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr');
     BC_DeleteSvc('Xnq55');
     BC_DeleteSvc('Winmm55');
     BC_DeleteSvc('Winao55');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=25342 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    Выполнил скрипты, перегрузился и все по новому - опять в папке с дровами Доктор Веб нашел файл Winhf11.sys зараженный Trojan.RNTM.10
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отключите восстановление системы, как написано в правилах.
    Отключите антивирус.
    Потом скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winhf11.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ncfpsys.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winhf11.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('c:\windows\temp\bn1.tmp','');
     DeleteFile('c:\windows\temp\bn1.tmp');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winhf11.sys');
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Winhf11');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(5);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25342 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    как мне прислать зараженный файл?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отключите восстановление системы, как написано в правилах! Там могут быть копии зловредов.

    Потом выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvd44.sys');
    BC_ImportDeletedList;
    DelWinlogonNotifyByKeyName('WinCtrl32');
    ExecuteSysClean;
    BC_DeleteSvc('Winvd44');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Это Вам знакомо?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{570319CB-8E79-465A-939A-1F3FBE52660A}: NameServer = 10.0.0.1,195.222.70.10
    Если незнакомо, то пофиксите в HijackThis эту строчку.

    Карантин и зараженный файл в архиве с паролем virus загрузите сюда http://virusinfo.info/upload_virus.php?tid=25342
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) Zillli, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Dr.web обнаруживает Trojan.Rntm.10 и Trojan.Packed.612
      От Serikgan в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:52
    2. Trojan.Rntm.10
      От gorchakov в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:15
    3. Trojan.Rntm.10
      От grayd в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:08
    4. Trojan.Rntm.10
      От Гондурас в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:08
    5. Trojan.Rntm.10
      От N-drey в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.08.2008, 22:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01363 seconds with 18 queries