Поймал вирусы Trojan.Rntm.10 и BackDoor.Bulknet.238

[sayanov]

Доброй ночи! Обращаюсь к Вам в первый раз, т.к. не уверен, что сам справился с этими вирусами. После того, как я зашёл на какой-то сайт, DrWeb выдал мне сообщение, что некоторые файлы заражены вирусами Trojan.Rntm.10, BackDoor.Bulknet.238, Trojan.Fakealert.458. Я нажимал лечить (некоторые он лечил, некоторые - удалял). После этого компьютер перезагрузился. Когда включился, то в нижнем правом углу экрана появился красный круг с белым крестом и сообщение о том, что мой компьютер инфицирован. Когда я опять подключился к Интернету, DrWeb опять нашел вирусы в папке System32 (инфицированные файлы WinCtrl32.dll, Winkr74.sys и др.). Я опять их вылечил, но после перезагрузки и подключения к Интернету DrWeb опять находил их. Также увеличился исходящий трафик (наверное какая-нибудь спам-расссылка). Тогда я проверил весь диск С в безопасном режиме и удалил из реестра все ветви, содержащие "braviax.exe". После этого исчез красный кружок и DrWeb перестал находить вирусы. Но всё же ещё остались подозрения на их наличие (т.к. исходящий трафик по-моему всё-ещё больше, чем был раньше). Очень Вас прошу посмотреть логи и сказать, есть ли ещё в системе какая-нибудь гадость. Заранее спасибо.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('Winuc63');
 DeleteService('Winta63');
 DeleteService('Winnt41');
 DeleteService('Winkr74');
 DeleteService('RpcSsRpcLocatorBrowser');
 DeleteService('RpcLocatorBrowser');
 DeleteService('LocalAgent');
 DeleteService('Gamevckmwcrm');
 DeleteService('BITSDnscache');
 DeleteService('AlerterHTTPFilter');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\Temp\3001536hp1536b.exe','');
 QuarantineFile('Gamevckmwcrm.sys','');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('Gamevckmwcrm.sys');
 DeleteFile('C:\Temp\3001536hp1536b.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkr74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnt41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winta63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc63.sys');
 DeleteFile('WinCtrl32.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('Winuc63');
 BC_DeleteSvc('Winta63');
 BC_DeleteSvc('Winnt41');
 BC_DeleteSvc('Winkr74');
 BC_DeleteSvc('RpcSsRpcLocatorBrowser');
 BC_DeleteSvc('RpcLocatorBrowser');
 BC_DeleteSvc('LocalAgent');
 BC_DeleteSvc('Gamevckmwcrm');
 BC_DeleteSvc('BITSDnscache');
 BC_DeleteSvc('AlerterHTTPFilter');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30086

3. Повторите логи.

[sayanov]

Всё сделал и выслал.

[V_Bond]

пофиксите

Код:

F2 - REG:system.ini: Shell=
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BAB8B87-8490-4164-82A8-71C7F94F833F}: NameServer = 85.255.113.146,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{F125B325-1FBB-4619-A34D-AE420F6D8DBD}: NameServer = 85.255.113.146,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.74
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.74
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

какие-то проблемы остались ?

[sayanov]

Сейчас вроде бы всё в порядке. Большое спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены