Trojan-Downloader.Win32.Mutant.aim

Добрый день.Терроризирует этот "мутант".Trojan-Downloader.Win32.Mutant.aim Каждый раз при последующем сканировании файл переименовывается.Активируется только при подключении к интернету.Помогите пожалуйста.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blwjytgk.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-606747145-308236825-725345543-500\Dc134\antivirus-2008pro.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NPZF0WAA\Antivirus2008PRO[1].exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\dssc32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\bindsrv2.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{55D17579-F6FF-4A63-981B-6683F99B9972}');
DelBHO('{28EAB8D9-308A-4E1C-BBDE-ED6A5A3CB0B2}');
DelBHO('{186CCB6D-D302-40DE-B08E-870643695DC7}');
QuarantineFile('C:\WINDOWS\wnslvxtf.dll','');
DeleteService('Winxb82');
DeleteService('Winva58');
DeleteService('Winva14');
DeleteService('Wintw47');
DeleteService('Winpt71');
DeleteService('Winpt26');
DeleteService('Winpt04');
DeleteService('Winns26');
DeleteService('Winnr04');
DeleteService('Winko61');
DeleteService('Winko47');
DeleteService('Winkn14');
DeleteService('Winkn03');
DeleteService('Winhl71');
DeleteService('Winhl14');
DeleteService('Wingk37');
DeleteService('Winfj72');
DeleteService('Windh71');
DeleteService('Windh15');
DeleteService('Winae26');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxb82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winva58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winva14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintw47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winko61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winko47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkn14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkn03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windh71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windh15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winae26.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winwa25.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMCroLC.dll','');
QuarantineFile('C:\WINDOWS\system32\opnoooPg.dll','');
QuarantineFile('C:\WINDOWS\system32\fnffwtcj.dll','');
QuarantineFile('C:\WINDOWS\eqvwamkl.dll','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\eqvwamkl.dll');
DeleteFile('C:\WINDOWS\system32\fnffwtcj.dll');
DeleteFile('C:\WINDOWS\system32\opnoooPg.dll');
DeleteFile('C:\WINDOWS\system32\qoMCroLC.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winwa25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winae26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winko47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winko61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintw47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winva14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winva58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxb82.sys');
DeleteFile('C:\WINDOWS\wnslvxtf.dll');
DeleteFile('opnoooPg.dll');
DeleteFile('C:\WINDOWS\nfavxwdbska.dll');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\bindsrv2.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\dssc32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NPZF0WAA\Antivirus2008PRO[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-606747145-308236825-725345543-500\Dc134\antivirus-2008pro.exe');
DeleteFile('C:\WINDOWS\system32\blwjytgk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Карантин выслан,логи прикреплены.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите файлы:
[CODE]C:\WINDOWS\System32\drivers\Winbf71.sys
[/CODE]
Сначала с помощью опции copy - скопируйте его куда-нибудь, чтобы нам прислать (см. правила Приложение 3), а потом удалите его через опцию force delete

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {45878655-7F3C-4A39-B037-A96D8D9FE3CB} - C:\WINDOWS\system32\qoMCroLC.dll (file missing)
O2 - BHO: (no name) - {55D17579-F6FF-4A63-981B-6683F99B9972} - C:\WINDOWS\system32\opnoooPg.dll (file missing)
O4 - HKLM\..\Run: [242c6d78] rundll32.exe "C:\WINDOWS\system32\qltlvcrc.dll",b
O4 - HKLM\..\Run: [BM271f5ee4] Rundll32.exe "C:\WINDOWS\system32\ylkhpwug.dll",s
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218
O20 - Winlogon Notify: opnoooPg - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winbf71');
DeleteService('Winae72');
DeleteService('Winjm83');
DeleteService('Winwa25');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjm83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winae72.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Eps_Reg.exe','');
QuarantineFile('C:\WINDOWS\system32\ylkhpwug.dll','');
QuarantineFile('C:\WINDOWS\system32\qltlvcrc.dll','');
DeleteFile('C:\WINDOWS\system32\qltlvcrc.dll');
DeleteFile('C:\WINDOWS\system32\ylkhpwug.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Eps_Reg.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winae72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjm83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf71.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winbf71');
BC_DeleteSvc('Winae72');
BC_DeleteSvc('Winjm83');
BC_DeleteSvc('Winwa25');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху страницы.
- Прикрепите логи к новому сообщению.

C:\WINDOWS\System32\drivers\Winbf71.sys - искомый файл не обнаружен :(

[QUOTE=Flunaspik;266669]C:\WINDOWS\System32\drivers\Winbf71.sys - искомый файл не обнаружен :([/QUOTE]
ОК, работаем далее :)

1.Не удалось пофиксить полностью.Отсутствует строка:
O4 - HKLM\..\Run: [BM271f5ee4] Rundll32.exe "C:\WINDOWS\system32\ylkhpwug.dll",s
2.Выполнил скрипт
3.почистил темп-папки, кэш проводников и корзину.
4.Карантин закачан,логи прикрепил.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winbe15');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe15.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....

При перезагрузках системы появляется следующее:
CPU Fan Error!
Pres F1 to Resume.
После нажатия F1 система загружается....:O
скрипт выполнен,логи прикреплены...

CPU Fan Error! - у вас проблемы с вентилятором на процессоре .... это серьезно проверте его работоспособность ....
в логах ничего плохого нет ...

Поактивная защита:
Модуль:\Driver\IsDrv122 - Обнаружен клавиатурный перехватчик...:(

это IceSword

Огромное Спасибо Всем спецам за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]63[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\i386\\svcpack\\clean.exe - [B]Trojan.Win32.Agent.aeez[/B][*] c:\\windows\\system32\\qltlvcrc.dll - [B]Trojan.Win32.Monder.epx[/B] (DrWEB: Trojan.Virtumod.based.23)[*] c:\\windows\\system32\\ylkhpwug.dll - [B]Trojan.Win32.Monder.eqo[/B] (DrWEB: Trojan.Virtumod.based.23)[/LIST][/LIST]