Trojan.RNTM.16

[B]1-2: [/B]Заразился с одного из зараженных сайтов, через присобаченный вредоносный скрипт. Сразу перестали открываться приложения от текущего пользователя и пошла активная сетевая деятельность. Взял из сети скачанную с другого компьютера свежую утилиту [B]DrWeb - CureIT! [/B]она обнаружила Trojan.RNTM.10 и Trojan.RNTM.16, часть файлов смогла удалить, на файлы system32\WinCtrl32.dll и winctrl32.dll поругалась что лечение невозможно. После полной проверки в системной папке я нашёл только файл WinCtrl32.dll, который поддавался переименовыванию но не удалялся. После того как я его переименовал, я загрузился в безопасном режиме, и удалил переименованный файл в корзину. После обычной загрузки, windows XP сообщил что не смог проверить активирована ли система, и предложил либо активировать её, либо выключить ПК. Водворение на место удалённого вирусного файла, и обратное его переименовывание в WinCtrl32.dll ничего не изменило, загрузится можно только в безопасном режиме без поддержки сетевых драйверов. Пробовал восстановление системы, никаких изменений.
[B]3-6: [/B]Выполнил
[B]7: [/B]В безопасном режиме из под пользователя с административными правами, под которым произошло заражение не удаётся никаким образом открыть административные разделы, не открывается меню свойства на папке мой компьютер, не открывается папка администрирование в панели управления. не запускаются msconfig и regedit. Однако из под учётной записи Администратор, всё работает, и отключить восстановление системы удалось.
[B]8-13:[/B] Выполнено
[B]14:[/B] Выполнено, но с другого ПК, по причинам указанным выше (Зараженный ПК требует активации).
P.S. Если троян просто сбил активацию каким-то образом, а не имитирует это, то я могу активировать систему, в этом проблемы не будет.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx86.sys','');
BC_DeleteSvc('Winpx86');
BC_DeleteSvc('Winiq86');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq86.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiq86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx86.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
сделайте логи в нормальном режиме ...

Скрипт выполнил, он перезапустил машину. ОС активировал, карантинные файлы создал и отправил. Логи из обычного режима прикрепляю. Машина стала вести себя вменяемо, уже спокойно открываются файлы и папки.

Неужто ничего больше фиксить не нужно? :>

пофиксите ...
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
больше ничего плохого ...

Спасибо большое, пофиксил этот троянский косяк :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dfl[/B] (DrWEB: Trojan.Packed.511)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.app[/B] (DrWEB: Trojan.Rntm.16)[/LIST][/LIST]