Здраствуйте! Обнаружен trojan.rntm. В C:\WINDOWS\system32\drivers появляются файлы типа winsj67.sys. DrWeb не помогает. На обоях рабочего предупреждение Windows о заражении компьютера.
Printable View
Здраствуйте! Обнаружен trojan.rntm. В C:\WINDOWS\system32\drivers появляются файлы типа winsj67.sys. DrWeb не помогает. На обоях рабочего предупреждение Windows о заражении компьютера.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\Drivers\Winne54.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MSIServerMSSQLServerADHelper');
DeleteService('EventSystemSSDPSRV');
DeleteService('SSDPSRVMSDTC');
DeleteService('NtLmSspMSSQL$CARATRemoteAccess');
DeleteService('MSSQL$CARATRemoteAccess');
DeleteService('Winne54');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winne54.sys',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\siwvid.sys','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('c:\windows\system32\msbo32.dll','');
DeleteFile('c:\windows\system32\msbo32.dll');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winne54.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MSIServerMSSQLServerADHelper');
BC_DeleteSvc('EventSystemSSDPSRV');
BC_DeleteSvc('SSDPSRVMSDTC');
BC_DeleteSvc('NtLmSspMSSQL$CARATRemoteAccess');
BC_DeleteSvc('MSSQL$CARATRemoteAccess');
BC_DeleteSvc('Winne54');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вроде бы всё сделал как указано выше. Карантин отослал, логи прикрепил.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O21 - SSODL: msbo32.dll - {131564D5-D88A-8383-0E1C-593D705D23FD} - (no file)
[/CODE]
Больше ничего плохого, если Вы знаете,что это: C:\DOCUME~1\9335~1\LOCALS~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\siwvid.sys
Сервис Пак 3 поставьте.
СПАСИБО!!! Всё получилось.