Trojan.rtnm.10

Printable View

27.06.2008, 16:00
Anisik

Вложений: 3

Trojan.rtnm.10

На машине установлен полный лицензионный пакет Dr.Web. Но страсть к ползанию в интернете привела к куче вирусов.
26 числа проверяю вебер - и вижу, что базы не обновлялись с 11 числа. В процессах (в диспетчере задач) было около 30 cmd.exe и winlogon.exe. С помощью вебера и авз ситуация улучшилась, но сейчас при каждой перезагрузке сканер вебера находит файлик в windows\system32\drivers\, зараженный Trojan.rtnm.10. Кстати, и Spider вебера не включить.
Я так понимаю, он сидит в реестре, и грамотного способа удаления этого вируса без вашей помощи не вижу.
27.06.2008, 16:06
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]тут[/URL] и удалите через force delete
[CODE]C:\WINDOWS\system32\Drivers\Winin87.sys
C:\WINDOWS\system32\WinCtrl32.dll[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winai10');
DeleteService('Winat08');
DeleteService('Wincv68');
DeleteService('Windt12');
DeleteService('Winhj32');
DeleteService('Winow01');
DeleteService('Winrl21');
DeleteService('Winsm23');
DeleteService('Winur76');
DeleteService('Winwf76');
DeleteService('Winin87');
DeleteService('Bxo32');
DeleteService('Qvk30');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin87.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bxo32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvk30.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwf76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winur76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsm23.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrl21.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winow01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhj32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windt12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincv68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winat08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winai10.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winin87.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winin87.sys');
DeleteFile('C:\temp\winlogon.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winat08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincv68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windt12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhj32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winow01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrl21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsm23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winur76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwf76.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvk30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bxo32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin87.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
-Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
-Повторите логи.
27.06.2008, 17:03
Anisik

Вложений: 3

[SIZE=3][FONT=Times New Roman]Кое-что выполнить не удалось:[/FONT][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\Drivers\Winin87.sys не был найден[/FONT][/SIZE]
[SIZE=3][/SIZE]
[SIZE=3][FONT=Times New Roman][FONT='Times New Roman']O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll [/FONT][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][FONT='Times New Roman']не нашла в HijackThis[/FONT][/FONT][/SIZE]
27.06.2008, 17:07
Rene-gad

В логах чисто.
Сервис Пак 3 (SP3) установить нужно.
Какие проблемы наблюдаете?
27.06.2008, 17:10
Anisik

Уже наверно никаких )
А надо фиксить те пункты, что в HijackThis пишут missing file?
Если честно, то это я в панике отключила почти все в msconfig'e..
27.06.2008, 17:11
Rene-gad

[QUOTE=Anisik;247620]А надо фиксить те пункты, что в HijackThis пишут missing file?[/QUOTE]В общем случае - нет. file missing может означать маскировку, а не отсутствие файла. msconfig можете включить обратно - это была совсем даже не плохая идея :)
Если проблем не наблюдается, то нам было бы интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 06:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\winhj32.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][/LIST][/LIST]