И снова Trojan.Rntm.10

Симптомы: загружается из интернета, как только устанавливается подключение.В папке tmp создается файл bn1.tmp или bn2.tmp или bn3.tmp.
В то же мгновение он появляется в Списке процессов Диспетчера задач. И буквально сразу же исчезает и со списка задач и из tmp.

В это же время создается файл в c:\windows\system32\drivers\
с абсолютно произвольными именами с расширением sys. Например winah53.sys или Winuc75.sys. После этого начинается рассылка спама с моего компа.

Одновременно с этим взвывает Др.Веб и благополучно удаляет файл.
Но рассылка спама продолжается.
После перегрузки системы и отключения от сети - ДрВеб ничего не находит.
И как только подсоединяю кабель снова начинается сначала - загрузка вирусняка из инета и т.д.

2 Антивируса -это 1 лишний: удалите любой, так , чтобы только 1 остался.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{4C579E8B-92F1-44d1-9444-66A4355E9386}');
DeleteService('Winel42');
DeleteService('Wingp76');
DeleteService('Winir11');
DeleteService('Winjs54');
DeleteService('Winsc08');
DeleteService('Wintb75');
DeleteService('Wintc88');
DeleteService('Winuc10');
DeleteService('Winyf86');
DeleteService('Winyi32');
DeleteService('Vel86');
DeleteService('IPFilter');
QuarantineFile('c:\tmp\Rar$EX30.063\IPFilter_x86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vel86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyi32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc10.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintc88.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsc08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy43.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingp76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winel42.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wincqt32.dll','');
QuarantineFile('C:\WINDOWS\system32\rozmchild.dll','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winel42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winft27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingp10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingp76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winir11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjs44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsc08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintc88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyi32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vel86.sys');
DeleteFile('c:\tmp\Rar$EX30.063\IPFilter_x86.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\wincqt32.dll');
DeleteFile('C:\WINDOWS\system32\rozmchild.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Какие 2 вируса Вы имеете ввиду? Вроде бы один ДрВеб стоит.

[QUOTE=Rasssmus;259897]Какие 2 вируса Вы имеете ввиду? Вроде бы один ДрВеб стоит.[/QUOTE]Действительно Вы правы: Там просто от Симантека какой-то остаток :D

O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe

Такой сторчки нет :(

[QUOTE=Rasssmus;259913]O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe[/QUOTE]Может ее и не стало, но была. Можете убедиться, посмотрев Ваш лог из сообщения Номер 1: [url]http://virusinfo.info/showpost.php?p=259881&postcount=1[/url] :)

В карантин ничего не попало. Высылаю новые логи.

А вирус опять цепанулся как только подключился к инету:(


У меня еще есть такой файл:'C:\WINDOWS\system32\WinCtrl32.dl_ Он не может вредить?

[URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\wincqt32.dll
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Если чего-то не обнаружите- не страшно, идите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: wincqt32 - wincqt32.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ipx42');
DeleteService('Winuc75');
DeleteService('Winjs54');
DeleteService('Winah53');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wincqt32.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipx42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjs54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winah53.sys','');
QuarantineFile('wincqt32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('WLCtrl32.dll','');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('wincqt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjs54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipx42.sys');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\wincqt32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Rasssmus;259922]
У меня еще есть такой файл:'C:\WINDOWS\system32\WinCtrl32.dl_ Он не может вредить?[/QUOTE]
Может (см. список файлов на удаление) ;)

необходимо ли после каждой операции удаление, фиксинье, скрипт выполнять перезагрузку? Или достаточно после всех итераций один раз перегрузить?

[QUOTE=Rasssmus;259927]необходимо ли после каждой операции удаление, фиксинье, скрипт выполнять перезагрузку? [/QUOTE]Автоматическая перезагрузка записана в скрипте лечения. После фиксения перегружаться не надо, в противнм случае Вам будет об этом сказано дополнительно.
При выполнении логов по правилам нужно так же перегружаться [B]только там[/B], где это указано.

В карантине снова ничего нет. Прверил ДрВебом при подключенном интете - вирусов не обнаружил. И старт винды намного быстрее стал происходить.

ОГРОМНОЕ СПАСИБО!!!!!!!!!!!!!!!!

На всякий случай привожу окончательные логи

[QUOTE]Прверил ДрВебом при подключенном интете - вирусов не обнаружил.[/QUOTE] И это не значит, что их нет :)

[URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winjq07.sys
[/CODE]
Если чего-то не обнаружите- не страшно, идите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winjq07');
DeleteService('Google Online Search Service - 2nd');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjq07.sys','');
QuarantineFile('C:\Program Files\WinService Manager\WinService.exe','');
QuarantineFile('C:\WINDOWS\system32\winlast.exe','');
DeleteFile('C:\WINDOWS\system32\winlast.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq07.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

карантин снова пустой. Логи здесь.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Eii44');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Eii44.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Eii44.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]

Карантин пуст Новые логи здесь:

В логах чисто. Какие проблемы остались?

Спасибо большое! Все ОК

Сервис Пак 3 нужно поставить.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]