Показано с 1 по 14 из 14.

Атаковали вирусы! DrWeb находит trojan.rntm.10 но не удаляет! (заявка № 28599)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58

    Thumbs up Атаковали вирусы! DrWeb находит trojan.rntm.10 но не удаляет!

    Здравствуйте, история болезни такова. Антивирусник вовремя не был преобретён, два месяца пользовался DrWeb CurelT, проверял компьютеры одинраз в неделю (регулярно скачивал обновления). Одна из сотрудниц скачала и установила анимационную застсвку на неск-ко компов, с ней почему-то автоматом встала прога почистки реестра. Где был антивир NOD32 все нормально, где не было - начались проблемы. Комп начал зависать, тормозить, грузится минут 5-10, намертво зависает при выключении. Заблокировались некоторые программы, а так же диспетчер задач (пишет "заблокированно администратором"). Из трея исчезли регулятор громкости, индикатор сети, хотя в панели управления все указано как надо. DrWeb находит в папке system32\drivers под разными именами (напр. winjp17.sys) трояна trojan.rntm.10 и после перезагрузки изменяет имя файла. Помогите от него избавиться и вернуть диспетчер задач!!!
    Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Winrx17.sys','');
     QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q5.exe','');
     QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q2.exe','');
     QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q1.exe','');
     QuarantineFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1840.tmp','');
     QuarantineFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1312.tmp','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y1917V3K\mshearts[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\tokupoup.dll','');
     QuarantineFile('C:\WINDOWS\system32\wthunk32.dll','');
     DeleteService('Winag06');
     DeleteService('Winag16');
     DeleteService('Winah28');
     DeleteService('Winek16');
     DeleteService('Winhn40');
     DeleteService('Winhn52');
     DeleteService('Winlr06');
     DeleteService('Winmr63');
     DeleteService('Winpu17');
     DeleteService('Winqw73');
     DeleteService('Winqy31');
     DeleteService('Winrw30');
     DeleteService('Winrx17');
     DeleteService('Winuc40');
     DeleteService('Winvb85');
     DeleteService('Winxe16');
     DeleteService('Winyf63');
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('Gms41');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gms41.sys','');
     DeleteService('glok+3443-2466');
     QuarantineFile('C:\WINDOWS\glok+3443-2466.sys','');
     DeleteService('msupdate');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('c:\windows\system32\..\svchost.exe');
     DeleteFile('C:\WINDOWS\glok+3443-2466.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gms41.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winah28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhn40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhn52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlr06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmr63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpu17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqy31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuc40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvb85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxe16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyf63.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\wthunk32.dll');
     DeleteFile('C:\WINDOWS\system32\tokupoup.dll');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y1917V3K\mshearts[1].exe');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1312.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1840.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\2816.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\316.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3632.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3788.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3892.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3968.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\4004.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\setup_files\3832.tmp');
     DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\setup_files\5544.tmp');
     DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q1.exe');
     DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q2.exe');
     DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q5.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\Winrx17.sys');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Здравствуйте, спасибо за оперативную реакцию. Выполнил скрипт - после перезагрузки появился диспетчер задач, ура! А так же ускорилась загрузка компа. Если я правильно понял, повторить логи - значит выполнить повторно операции, указанные в Правилах? Сейча выполняю.
    Есть пару вопросов: если не запустил Internet Exploler до начала проверки, можно ли запускать в ходе выполнения скрипта, и на сколько не выполнение этого пункта повлияет на работу AVZ. Пункт №8 "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" проведен без Internet Explolerа.
    По завершению запустил DrWeba - trojan.rntm.10 остался. Еще вопрос: в основном окне AVZ есть пункт "методика лечения", я везде заменил "удалить" на " только отчет". Это правильно, или нужно было оставить как есть?
    Спасибо. Буду ждать ответ.
    Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Winwd27.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winjq30');
     DeleteService('Winfl41');
     DeleteService('Winwd27');
     DeleteService('CbEvtSvc');
     QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
     DeleteService('CcEvtSvc');
     QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winwd27.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winwd27.sys');
     DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
     DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwd27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfl41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjq30.sys');
     DeleteFile('WinCtrl32.dll');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ..

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Забыл добавить. При выполнении пункта 12. Нажмите на кнопку "Do a system scan and save a logfile" появляется окно... Хотел вложить скрин, но загрузка не пошла. Вот текст ошибки: "An unexpected error has occurred at procedure: modMain_StartScan() Error #5 - Invaid procedure call or argument" Таже ошибка выскочила вчера, я забыл указать.

    Добавлено через 17 минут

    Оперативненько! Зпаустил IceSword, вывалилась ошибка:
    Invalid failed, error code: 1073741462
    Initialize failed
    На другом компе IceSword пошел. Как я идумал.
    Что теперь, запустить последний скрипт без удаления файла C:\WINDOWS\System32\Drivers\Winwd27.sys ?
    Я все же дождусь ответа.
    Последний раз редактировалось ScorpioNik; 21.08.2008 в 22:00. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вместо IceSword
    скачать ...
    - отключить антивирус
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Winwd27.sys - direct file content wiping - do operation - закрыть программу..
    - перезагрузится ...
    выполните скрипт ...

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Скачал, оключил антивир, отключил интернет (выключаю выдергиванием сетевого кабеля, потомучто в панели управления пишет "сетевое устр. откл.", а сеть при этом есть), установил Rootkit Unhooker. Запускаю - ошибка:

    Error creating registry key
    Error loading/opening driver

    Попробовал опять IceSword - не идет тоже!

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте сначала такой скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Здравствуйте, вот что я сделал:
    1). Выполнил последний скрипт
    2). IceSword запустился после презагруза
    3). force delete искомый файл, правда уже измененное имя на winag52.sys и еще файл с подобным именем но расширением .#ys (DrWeb постарался)
    4). выслал карантин
    5). повторил логи

    Теперь жду вердикта.

    P.S.: Запустил быструю проверку DrWeb - trojan.rntm.10 не был обнаружен, ура цель достигнута! Посмотрим, снимется ли блокировка двух необходимых программ. Пока могу сказать, индикатор сети и громкости вернулись трей, спасибо.
    И еще, есть ли универсальный способ (на будующее) вернуть диспетчер задач к жизни? Если этот вопрос требует расширенного ответа, подскжите где можно почитать. Еще раз спасибо.
    Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YCW8WPDM\mshearts[1].exe','');
     DeleteService('Winvc85');
     DeleteService('Winkq52');
     DeleteService('Winbh17');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbh17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvc85.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YCW8WPDM\mshearts[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Здравствуйте. Карантин отправил, логи выполнил.

    Весь головняк этого компа в том, что установленное Многопользовательское расширение Астер запускается, но второе рабочее место не работает. Суть этой программы - использование видекарты с ддвумя выходами для двух независимых рабочих мест. Она разделяет два монитора и два комплекта клава-мышь. Я связывался с разработчиками, заменял присланное ими ядро программы, но результат нулевой. Проблема появилась одновременно с вирусами, описаными выше.

    И еще не удается восстановить работоспособность программы для обмена данных с казначейством "СКЗИ Континент-АП"
    Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах проблем не видно.
    Нужно установить Сервис Пак 3, возможно потребуется активация системы.

    Ваши программы возможно придется переустановить или проконсультироваться в техподдержке производителя.

  14. #13
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    58
    Сервис Пак-3 ставить не буду, говорят он нормально работает только с Intel. А с разработчиками связываться буду. Переустановить проги нет возможности - слишком много потеряем.

    Всем спасибо за помощь! Мне понравилась ваша работа!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\ycw8wpdm\\mshearts[1].exe - Trojan-Downloader.Win32.Injecter.sg (DrWEB: Trojan.Spambot.3400)
      2. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\y1917v3k\\mshearts[1].exe - Trojan-Downloader.Win32.Injecter.sg (DrWEB: Trojan.Spambot.3400)
      3. c:\\documents and settings\\админ\\local settings\\temp\\msi_setup\\1312.tmp - Packed.Win32.Tibs.ko
      4. c:\\documents and settings\\админ\\local settings\\temp\\msi_setup\\1840.tmp - Packed.Win32.Tibs.ko
      5. c:\\windows\\svchost.exe - Trojan.Win32.Agent.amtq
      6. c:\\windows\\system32\\dflgh8jkd2q1.exe - Trojan.Win32.Agent.amtr
      7. c:\\windows\\system32\\dflgh8jkd2q2.exe - Trojan.Win32.Agent.amtr
      8. c:\\windows\\system32\\dflgh8jkd2q5.exe - Trojan.Win32.Agent.amtr
      9. c:\\windows\\system32\\drivers\\winrx17.sys - Trojan-Downloader.Win32.Mutant.aim
      10. c:\\windows\\system32\\..\\svchost.exe - Trojan.Win32.Agent.amtq
      11. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      12. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayt (DrWEB: Trojan.Packed.573)
      13. c:\\windows\\winlogon.exe - Trojan.Win32.Agent.amtp


  • Уважаемый(ая) ScorpioNik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Eps.38782 находит но не удаляет
      От darkxakep в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 12.06.2012, 17:21
    2. avz находит вирусы но не удаляет
      От Евгений Варвар в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.01.2011, 19:40
    3. Ответов: 1
      Последнее сообщение: 09.04.2010, 18:00
    4. находит вирусы, но не удаляет их
      От burguy75 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.07.2009, 10:50
    5. DrWeb обнаруживает Trojan.Rntm.10, но не удаляет
      От vic_bal в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00904 seconds with 19 queries