-
Junior Member
- Вес репутации
- 58
Trojan.Rntm.10 - не могу выгрызть с компьютера
Здравствуйте! Поселился троян Trojan.Rntm.10, внимательно читал ветки по его искоренению, но самостоятельно не получается - все то же предупреждение Windows о заражении компьютера на обоях рабочего стола. Пожалуйста, помогите, если можно! Дохтур Веб пока ничем помочь не смог.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcngdj0en41.exe','');
QuarantineFile('c:\windows\system32\lphcngdj0en41.exe','');
DeleteFile('c:\windows\system32\lphcngdj0en41.exe');
DeleteFile('C:\WINDOWS\system32\lphcngdj0en41.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\blphcngdj0en41.scr');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнил
Скрипт выполнил, после перезагрузки сообщение на десктопе временно пропало, сделал логи, перезагрузил - опять появилось сообщение о заражении. Выслаю повторные логи, карантинный файл выслал.
Последний раз редактировалось Rene-gad; 20.08.2008 в 17:03.
Причина: Допотопная версия АВЗ
-
Скачайте последнюю версию АВЗ по ссылке в правилах. Обновите базы.
Там же - последнюю версию Хайджека.
Повторите 3 лога.
Ненужные я удалю.
-
-
Junior Member
- Вес репутации
- 58
Сделал, как Вы написали,
Сделал, как Вы написали, повторяю логи.
В прошлый раз забыл запустить перед сбором логов IE.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:26.
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O4 - HKUS\S-1-5-21-1935655697-299502267-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Admin')
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('DcomLaunchALG');
DeleteService('DcomLaunchPlugPlay');
DeleteService('DnscacheBrowser');
DeleteService('DnscacheMessenger');
DeleteService('helpsvcAppMgmt');
DeleteService('lanmanserverDcomLaunchPlugPlay');
DeleteService('napagentClipSrv');
DeleteService('NetDDERpcLocator');
DeleteService('NetlogonSwPrv');
DeleteService('ProtectedStorageNetman');
DeleteService('SharedAccessose');
DeleteService('WZCSVCSCardSvr');
DeleteService('wuauservAlerterSharedAccess');
DeleteService('wuauservAlerter');
DeleteService('W32TimeRasAuto');
DeleteService('stisvcmnmsrvc');
DeleteService('Winvc27');
DeleteService('Winbh52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh52.sys','');
DeleteFile('C:\WINDOWS\system32\blphcngdj0en41.scr');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc27.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('DcomLaunchALG');
BC_DeleteSvc('DcomLaunchPlugPlay');
BC_DeleteSvc('DnscacheBrowser');
BC_DeleteSvc('DnscacheMessenger');
BC_DeleteSvc('helpsvcAppMgmt');
BC_DeleteSvc('lanmanserverDcomLaunchPlugPlay');
BC_DeleteSvc('napagentClipSrv');
BC_DeleteSvc('NetDDERpcLocator');
BC_DeleteSvc('NetlogonSwPrv');
BC_DeleteSvc('ProtectedStorageNetman');
BC_DeleteSvc('SharedAccessose');
BC_DeleteSvc('WZCSVCSCardSvr');
BC_DeleteSvc('wuauservAlerterSharedAccess');
BC_DeleteSvc('wuauservAlerter');
BC_DeleteSvc('W32TimeRasAuto');
BC_DeleteSvc('stisvcmnmsrvc');
BC_DeleteSvc('Winvc27');
BC_DeleteSvc('Winbh52');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Все сделал по инструкции, карантины отправил
Все сделал по инструкции, карантины отправил
Последний раз редактировалось Склеротик; 13.06.2011 в 21:26.
-
- Очистите темп-папки, кэш проводников и корзину !!! в вашем случае обязательно ...
выполните скрипт ...
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 58
Все сделал
Уважаемые ГУРУ!! Я очень стараюсь сделать все, что Вы говорите! Кэши, корзину и т.п. вычищаю рекомендованными на сайте утилитами,
последний скрипт выполнил, пока изменений нет. Помогите, пожалуйста! Логи высылаю.
P.S. на компьютере два пользователя, оба с правами админа. Может, одного надо удалить?
Последний раз редактировалось Склеротик; 13.06.2011 в 21:26.
-
удалите временные интернет файлы через свойства обозревателя ...
ну и обои можно поменять ....
-
-
Junior Member
- Вес репутации
- 58
Кажись, того-этого, все получилось!
Огромное спасибо всем, кто откликнулся и помог мне избавиться от заразы!!! Не ожидал такой быстрой и толковой помощи! Отдельное спасибо за терпение, сбором логов занимался впервые, может, не сразу все учел, хотя AVZ пользовался несколько раз до этого случая самостоятельно, здорово помогало. Всем удачи! Тему можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\юля\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.axo (DrWEB: Trojan.DownLoad.2077)
- c:\\windows\\system32\\lphcngdj0en41.exe - Backdoor.Win32.Frauder.j (DrWEB: Trojan.Fakealert.1194)
-