Показано с 1 по 9 из 9.

Троян Mutant.aim (заявка № 28563)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    21
    Вес репутации
    31

    Exclamation Троян Mutant.aim

    Можно попытаться "это" спасти?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от mike345 Посмотреть сообщение
    Можно попытаться "это" спасти?
    Поздно, Маня, пить боржом, когда почка отказала (с)
    Система не патченная ни разу.

    Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    C:\WINDOWS\SYSTEM32\WinCtrl32.bak
    C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
    C:\WINDOWS\System32\drivers\Winxi53.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winte06');
     DeleteService('Winqb28');
     DeleteService('Winoj53');
     DeleteService('Winje85');
     DeleteService('Winid31');
     DeleteService('Winhc41');
     DeleteService('Winet40');
     DeleteService('WebClientWZCSVC');
     DeleteService('W32TimeHidServNetDDEdsdm');
     DeleteService('TrkWksRSVP');
     DeleteService('seclogonWebClientWZCSVC');
     DeleteService('ScheduleVSS');
     DeleteService('RpcSsdmadmin');
     DeleteService('ProtectedStoragePlugPlay');
     DeleteService('HidServNetDDEdsdm');
     DeleteService('BITSWmdmPmSp');
    QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winty31.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winte06.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb28.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winoj53.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winje85.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winid31.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhc41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winet40.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winet40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhc41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winid31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winje85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winoe30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winoj53.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqb28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winte06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty31.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); 
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winte06');
     BC_DeleteSvc('Winqb28');
     BC_DeleteSvc('Winoj53');
     BC_DeleteSvc('Winje85');
     BC_DeleteSvc('Winid31');
     BC_DeleteSvc('Winhc41');
     BC_DeleteSvc('Winet40');
     BC_DeleteSvc('WebClientWZCSVC');
     BC_DeleteSvc('W32TimeHidServNetDDEdsdm');
     BC_DeleteSvc('TrkWksRSVP');
     BC_DeleteSvc('seclogonWebClientWZCSVC');
     BC_DeleteSvc('ScheduleVSS');
     BC_DeleteSvc('RpcSsdmadmin');
     BC_DeleteSvc('ProtectedStoragePlugPlay');
     BC_DeleteSvc('HidServNetDDEdsdm');
     BC_DeleteSvc('BITSWmdmPmSp');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    21
    Вес репутации
    31

    Жив курилка...

    Сори... Обновил базы, зараза жива.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Нужно заменить системный файл
    1. Запуститесь с дистрибутива.
    2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
    3. На приглашение введите строку:
    Код:
    copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe
    Переписывание подтвердите
    4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    5. Загрузитесь нормально, далее по тексту.
    Если нет дистрибутива - загрузитесь с любого LiveCD или перемонтируйте диск в другой здоровый комп.

    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    C:\WINDOWS\SYSTEM32\WinCtrl32.bak
    C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
    C:\WINDOWS\System32\drivers\Winxi53.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    21
    Вес репутации
    31

    Добил...

    Процедура не помогла... Поменял winlogon.exe, попросился на активацию и после перегруза - опять там же зараза.
    Решил поудаляв все файлы из под LiveCD, докучи грохнул ещё один файл из папки system32/drivers, вернее скопировал в корень диска с:
    На него Зайцев "ругается".
    Вроде чисто, теперь...
    Спасибо!
    P.S. На рабочем столе скопированная Айсом зараза.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('W32Timemnmsrvc');
     DeleteService('ProtectedStorageSwPrv');
     DeleteService('NtmsSvcAVP');
    ExecuteSysClean;
     BC_DeleteSvc('W32Timemnmsrvc');
     BC_DeleteSvc('ProtectedStorageSwPrv');
     BC_DeleteSvc('NtmsSvcAVP');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

    Цитата Сообщение от mike345 Посмотреть сообщение
    P.S. На рабочем столе скопированная Айсом зараза.
    Ее плиз, закачайте, по приложениям 2 и 3 правил .
    Спасибо
    Последний раз редактировалось Rene-gad; 20.08.2008 в 20:20. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    21
    Вес репутации
    31
    Тем временем поставился 3 пак... Надеюсь не введу никого в заблуждение.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от mike345 Посмотреть сообщение
    Надеюсь не введу никого в заблуждение.
    Мы всякое видали ...
    Вот эти 3 записи
    Код:
    O23 - Service: Съемные ЗУ NtmsSvcAVP (NtmsSvcAVP) - Unknown owner - .exe (file missing)
    O23 - Service: Защищенное хранилище ProtectedStorageSwPrv (ProtectedStorageSwPrv) - Unknown owner - .exe (file missing)
    O23 - Service: Служба времени Windows W32Timemnmsrvc (W32Timemnmsrvc) - Unknown owner - .exe (file missing)
    удалите, как тут описано: http://virusinfo.info/showpost.php?p=80604&postcount=2
    А потом - если они в логах больше не возникнут - можно и логи не прикреплять.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,550
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      2. c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      3. c:\\documents and settings\\user\\рабочий стол\\1\\winxi53.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)


  • Уважаемый(ая) mike345, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Mutant.aim
      От KirillP в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:30
    2. Неубиваемый троян ...Win32.Mutant.aim
      От celtic в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 07:09
    3. Троян Mutant.aim
      От mike345 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:01
    4. Троян Mutant\Horse\Pandex
      От mitiay в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:46
    5. троян win32.mutant.aim
      От zeka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.08.2008, 12:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00326 seconds with 21 queries