Троян Mutant.aim

Printable View

20.08.2008, 17:03
mike345

Вложений: 3

Троян Mutant.aim

Можно попытаться "это" спасти?
20.08.2008, 17:32
Rene-gad

[QUOTE=mike345;271107]Можно попытаться "это" спасти?[/QUOTE]Поздно, Маня, пить боржом, когда почка отказала (с)
Система не патченная ни разу.

[COLOR="Red"][B]Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B][/COLOR]

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\System32\drivers\Winxi53.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winte06');
DeleteService('Winqb28');
DeleteService('Winoj53');
DeleteService('Winje85');
DeleteService('Winid31');
DeleteService('Winhc41');
DeleteService('Winet40');
DeleteService('WebClientWZCSVC');
DeleteService('W32TimeHidServNetDDEdsdm');
DeleteService('TrkWksRSVP');
DeleteService('seclogonWebClientWZCSVC');
DeleteService('ScheduleVSS');
DeleteService('RpcSsdmadmin');
DeleteService('ProtectedStoragePlugPlay');
DeleteService('HidServNetDDEdsdm');
DeleteService('BITSWmdmPmSp');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winte06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoj53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winje85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winid31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhc41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winet40.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winet40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhc41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winid31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winje85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoe30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoj53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqb28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winte06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty31.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winte06');
BC_DeleteSvc('Winqb28');
BC_DeleteSvc('Winoj53');
BC_DeleteSvc('Winje85');
BC_DeleteSvc('Winid31');
BC_DeleteSvc('Winhc41');
BC_DeleteSvc('Winet40');
BC_DeleteSvc('WebClientWZCSVC');
BC_DeleteSvc('W32TimeHidServNetDDEdsdm');
BC_DeleteSvc('TrkWksRSVP');
BC_DeleteSvc('seclogonWebClientWZCSVC');
BC_DeleteSvc('ScheduleVSS');
BC_DeleteSvc('RpcSsdmadmin');
BC_DeleteSvc('ProtectedStoragePlugPlay');
BC_DeleteSvc('HidServNetDDEdsdm');
BC_DeleteSvc('BITSWmdmPmSp');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
20.08.2008, 18:07
mike345

Вложений: 3

Жив курилка...

Сори... Обновил базы, зараза жива.
20.08.2008, 18:48
Rene-gad

[B]Нужно заменить системный файл[/B]
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe[/CODE]
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально, далее по тексту.
Если нет дистрибутива - загрузитесь с любого LiveCD или перемонтируйте диск в другой здоровый комп.

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\System32\drivers\Winxi53.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
20.08.2008, 20:08
mike345

Вложений: 3

Добил...

Процедура не помогла... Поменял winlogon.exe, попросился на активацию и после перегруза - опять там же зараза.
Решил поудаляв все файлы из под LiveCD, докучи грохнул ещё один файл из папки system32/drivers, вернее скопировал в корень диска с:
На него Зайцев "ругается".
Вроде чисто, теперь...
Спасибо!
P.S. На рабочем столе скопированная Айсом зараза.
20.08.2008, 20:20
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('W32Timemnmsrvc');
DeleteService('ProtectedStorageSwPrv');
DeleteService('NtmsSvcAVP');
ExecuteSysClean;
BC_DeleteSvc('W32Timemnmsrvc');
BC_DeleteSvc('ProtectedStorageSwPrv');
BC_DeleteSvc('NtmsSvcAVP');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.

[QUOTE=mike345;271253]
P.S. На рабочем столе скопированная Айсом зараза.[/QUOTE]Ее плиз, закачайте, по приложениям 2 и 3 правил .
Спасибо :)
20.08.2008, 20:36
mike345

Вложений: 2

Тем временем поставился 3 пак... Надеюсь не введу никого в заблуждение.
20.08.2008, 20:46
Rene-gad

[QUOTE=mike345;271288]Надеюсь не введу никого в заблуждение.[/QUOTE]Мы всякое видали ... 8)
Вот эти 3 записи
[CODE]O23 - Service: Съемные ЗУ NtmsSvcAVP (NtmsSvcAVP) - Unknown owner - .exe (file missing)
O23 - Service: Защищенное хранилище ProtectedStorageSwPrv (ProtectedStorageSwPrv) - Unknown owner - .exe (file missing)
O23 - Service: Служба времени Windows W32Timemnmsrvc (W32Timemnmsrvc) - Unknown owner - .exe (file missing)[/CODE]
удалите, как тут описано: [url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]
А потом - если они в логах больше не возникнут - можно и логи не прикреплять.:>
22.02.2009, 07:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dl_ - [B]Trojan-Downloader.Win32.Mutant.ayn[/B] (DrWEB: Trojan.Packed.573)[*] c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ayn[/B] (DrWEB: Trojan.Packed.573)[*] c:\\documents and settings\\user\\рабочий стол\\1\\winxi53.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[/LIST][/LIST]