Trojan.Rntm.10 - не могу выгрызть с компьютера

[Склеротик]

Здравствуйте! Поселился троян Trojan.Rntm.10, внимательно читал ветки по его искоренению, но самостоятельно не получается - все то же предупреждение Windows о заражении компьютера на обоях рабочего стола. Пожалуйста, помогите, если можно! Дохтур Веб пока ничем помочь не смог.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\lphcngdj0en41.exe','');
 QuarantineFile('c:\windows\system32\lphcngdj0en41.exe','');
 DeleteFile('c:\windows\system32\lphcngdj0en41.exe');
 DeleteFile('C:\WINDOWS\system32\lphcngdj0en41.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\blphcngdj0en41.scr');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ....

[Склеротик]

Скрипт выполнил, после перезагрузки сообщение на десктопе временно пропало, сделал логи, перезагрузил - опять появилось сообщение о заражении. Выслаю повторные логи, карантинный файл выслал.

[Rene-gad]

Скачайте последнюю версию АВЗ по ссылке в правилах. Обновите базы.
Там же - последнюю версию Хайджека.
Повторите 3 лога.
Ненужные я удалю.

[Склеротик]

Сделал, как Вы написали, повторяю логи.
В прошлый раз забыл запустить перед сбором логов IE.

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKUS\S-1-5-21-1935655697-299502267-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Admin')

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('DcomLaunchALG');
 DeleteService('DcomLaunchPlugPlay');
 DeleteService('DnscacheBrowser');
 DeleteService('DnscacheMessenger');
 DeleteService('helpsvcAppMgmt');
 DeleteService('lanmanserverDcomLaunchPlugPlay');
 DeleteService('napagentClipSrv');
 DeleteService('NetDDERpcLocator');
 DeleteService('NetlogonSwPrv');
 DeleteService('ProtectedStorageNetman');
 DeleteService('SharedAccessose');
 DeleteService('WZCSVCSCardSvr');
 DeleteService('wuauservAlerterSharedAccess');
 DeleteService('wuauservAlerter');
 DeleteService('W32TimeRasAuto');
 DeleteService('stisvcmnmsrvc');
 DeleteService('Winvc27');
 DeleteService('Winbh52');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh52.sys','');
 DeleteFile('C:\WINDOWS\system32\blphcngdj0en41.scr');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc27.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('DcomLaunchALG');
 BC_DeleteSvc('DcomLaunchPlugPlay');
 BC_DeleteSvc('DnscacheBrowser');
 BC_DeleteSvc('DnscacheMessenger');
 BC_DeleteSvc('helpsvcAppMgmt');
 BC_DeleteSvc('lanmanserverDcomLaunchPlugPlay');
 BC_DeleteSvc('napagentClipSrv');
 BC_DeleteSvc('NetDDERpcLocator');
 BC_DeleteSvc('NetlogonSwPrv');
 BC_DeleteSvc('ProtectedStorageNetman');
 BC_DeleteSvc('SharedAccessose');
 BC_DeleteSvc('WZCSVCSCardSvr');
 BC_DeleteSvc('wuauservAlerterSharedAccess');
 BC_DeleteSvc('wuauservAlerter');
 BC_DeleteSvc('W32TimeRasAuto');
 BC_DeleteSvc('stisvcmnmsrvc');
 BC_DeleteSvc('Winvc27');
 BC_DeleteSvc('Winbh52');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Склеротик]

Все сделал по инструкции, карантины отправил

[V_Bond]

- Очистите темп-папки, кэш проводников и корзину !!! в вашем случае обязательно ...
выполните скрипт ...

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

[Склеротик]

Уважаемые ГУРУ!! Я очень стараюсь сделать все, что Вы говорите! Кэши, корзину и т.п. вычищаю рекомендованными на сайте утилитами,
последний скрипт выполнил, пока изменений нет. Помогите, пожалуйста! Логи высылаю.
P.S. на компьютере два пользователя, оба с правами админа. Может, одного надо удалить?

[V_Bond]

удалите временные интернет файлы через свойства обозревателя ...
ну и обои можно поменять ....

[Склеротик]

Огромное спасибо всем, кто откликнулся и помог мне избавиться от заразы!!! Не ожидал такой быстрой и толковой помощи! Отдельное спасибо за терпение, сбором логов занимался впервые, может, не сразу все учел, хотя AVZ пользовался несколько раз до этого случая самостоятельно, здорово помогало. Всем удачи! Тему можно закрывать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\юля\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.axo (DrWEB: Trojan.DownLoad.2077)
  2. c:\\windows\\system32\\lphcngdj0en41.exe - Backdoor.Win32.Frauder.j (DrWEB: Trojan.Fakealert.1194)