Trojan.rtnm.10

**Anisik** · 27.06.2008, 16:00

На машине установлен полный лицензионный пакет Dr.Web. Но страсть к ползанию в интернете привела к куче вирусов.
26 числа проверяю вебер - и вижу, что базы не обновлялись с 11 числа. В процессах (в диспетчере задач) было около 30 cmd.exe и winlogon.exe. С помощью вебера и авз ситуация улучшилась, но сейчас при каждой перезагрузке сканер вебера находит файлик в windows\system32\drivers\, зараженный Trojan.rtnm.10. Кстати, и Spider вебера не включить.
Я так понимаю, он сидит в реестре, и грамотного способа удаления этого вируса без вашей помощи не вижу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 27.06.2008, 16:06

Скачайте тут и удалите через force delete

Код:

C:\WINDOWS\system32\Drivers\Winin87.sys
C:\WINDOWS\system32\WinCtrl32.dll

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winai10');
 DeleteService('Winat08');
 DeleteService('Wincv68');
 DeleteService('Windt12');
 DeleteService('Winhj32');
 DeleteService('Winow01');
 DeleteService('Winrl21');
 DeleteService('Winsm23');
 DeleteService('Winur76');
 DeleteService('Winwf76');
 DeleteService('Winin87');
 DeleteService('Bxo32');
 DeleteService('Qvk30');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winin87.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bxo32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qvk30.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwf76.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winur76.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsm23.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrl21.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winow01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhj32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windt12.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincv68.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winat08.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winai10.sys','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winin87.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winin87.sys');
 DeleteFile('C:\temp\winlogon.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winai10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winat08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincv68.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windt12.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhj32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winow01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrl21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsm23.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winur76.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwf76.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qvk30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bxo32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winin87.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
-Повторите логи.

**Anisik** · 27.06.2008, 17:03

Кое-что выполнить не удалось:

C:\WINDOWS\system32\Drivers\Winin87.sys не был найден

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
не нашла в HijackThis

**Rene-gad** · 27.06.2008, 17:07

В логах чисто.
Сервис Пак 3 (SP3) установить нужно.
Какие проблемы наблюдаете?

**Anisik** · 27.06.2008, 17:10

Уже наверно никаких )
А надо фиксить те пункты, что в HijackThis пишут missing file?
Если честно, то это я в панике отключила почти все в msconfig'e..

**Rene-gad** · 27.06.2008, 17:11

Сообщение от Anisik

А надо фиксить те пункты, что в HijackThis пишут missing file?

В общем случае - нет. file missing может означать маскировку, а не отсутствие файла. msconfig можете включить обратно - это была совсем даже не плохая идея

Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

**CyberHelper** · 22.02.2009, 06:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\winhj32.sys - Trojan-Downloader.Win32.Mutant.aim

Trojan.rtnm.10 (заявка № 25438)

Опции темы

Trojan.rtnm.10

Итог лечения

Похожие темы

SOS! ПОмогите с вирусами msvmiode.exe,cfdrive32.exe,Trojan-PSW.Win32.LdPinch,Trojan.Inject. Trojan.AVKill.

Работа вирусов Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771

Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank

Trojan.DownLoader.37508, Trojan.MulDrop.8347, Trojan.Proxi.2507, Backdoor.Dozg

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

Ваши права в разделе