Вирус. Определяется Dr.Web CureIT как Trojan.Rntm.10

Printable View

23.08.2008, 17:35
pdd

Вложений: 3

Вирус. Определяется Dr.Web CureIT как Trojan.Rntm.10

Помогите, пожалуйста побороть сабж.
Проблема такая же, как и здесь [URL]http://virusinfo.info/showthread.php?t=28701[/URL]
Файл после удаления появляется после перезагрузки. Имеет имя в формате winXXYY.sys, которое меняется. XX - символы лат. алфавита, YY - цифры. Располагается в %systemroot%/system32/drivers/
Также имеются файлы d:\WINDOWS\system32\WinCtrl32.dl_ и d:\WINDOWS\system32\WinCtrl32.dll
Вылечить, удалить не удается, AVZ явно проблем не находит, CureIT удаляет файл winXXYY.sys, но это только до перезагрузки.
Изначально была изменена заставка на рабочем столе, не было закладок "Рабочий стол" и "Заставка" в свойстах "Экрана". Но это удалось исправить удалением файла из автозагрузки.

Забыл добавить, - присутствуют соответствующие ветки в разделе сервисов - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winjx55, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmm44, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winxk71 и т.п.
Библиотека WinCtrl32 подгружается под процессом winlogon - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32
И параметр PendingFileRenameOperations в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager со значением из двух строк \D:\WINDOWS\System32\WinCtrl32.dl_
D:\WINDOWS\System32\WinCtrl32.dll
то есть как я понимаю файл блокируется на запись и ротируется каждую перезагрузку. От первой мысли - разобратьяс с этим вручную отказался, так как боюсь провести удаление не до конца.
23.08.2008, 18:08
V_Bond

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]D:\WINDOWS\System32\drivers\Winmm36.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxk71');
DeleteService('Winvk55');
DeleteService('Winrg17');
DeleteService('Winmm44');
DeleteService('Winjx55');
DeleteService('Winiu58');
DeleteService('WMPNetworkSvcSpooler');
DeleteService('WmiApSrvEventlogRasAuto');
DeleteService('WmiApSrvEventlog');
DeleteService('WebClientSysmonLogWudfSvc');
DeleteService('WebClientSysmonLog');
DeleteService('Spoolerwuauserv');
DeleteService('RemoteRegistryhelpsvc');
DeleteService('ProtectedStorageSharedAccessProtectedStorageSharedAccess');
DeleteService('ProtectedStorageSharedAccess');
DeleteService('lanmanworkstationnapagent');
DeleteService('HTTPFilterWmi');
DeleteService('EapHostRDSessMgr');
DeleteService('dmadminwinmgmt');
DeleteService('AlerterShellHWDetection');
QuarantineFile('srv.exe','');
QuarantineFile('D:\WINDOWS\System32\drivers\Winmm36.sys','');
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\WINDOWS\System32\drivers\Winmm36.sys');
DeleteFile('srv.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Winiu58.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winjx55.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winmm44.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winrg17.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winvk55.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winxk71.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
24.08.2008, 01:38
pdd

Вложений: 3

V_Bond, спасибо. Уже успел удалить файл winmm36.sys, так что вместо winmm36.sys появился winlk25.sys, поэтому выполнил скрипт(copy/paste того что выполнил)
[COLOR="Red"]moderated:::зачем скрипт повторять? :)[/COLOR]
В карантине почему то числиться WinCtrl32.dll, а winlk25.sys - нет.
Файлы после выполнения рекомендованных действий прилагаю.
24.08.2008, 11:28
Aleksandra

Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL]
Запустите, слева внизу нажмите File, затем найдите:

[quote]D:\WINDOWS\System32\Drivers\Winlk25.sys
D:\WINDOWS\System32\Drivers\Winxj03.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxj03');
DeleteService('Winlk25');
DeleteService('COMSysAppHidServ');
DeleteFile('srv.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Winlk25.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winxj03.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winxj03');
BC_DeleteSvc('Winlk25');
BC_DeleteSvc('COMSysAppHidServ');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[quote]O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\[/quote]4. Повторите логи.
24.08.2008, 13:07
pdd

Вложений: 3

[QUOTE]D:\WINDOWS\System32\Drivers\Winlk25.sys
D:\WINDOWS\System32\Drivers\Winxj03.sys[/QUOTE]
Удалить файлы не удалось, так как их не было, остались только записи в реестре.
Пункты 1-4 выполнил.
Да, собственно, теперь окончательно удалось полечить, благодаря помощи Александры и V_Bond.
Спасибо.
24.08.2008, 13:16
V_Bond

ничего плохого ...
25.08.2008, 23:41
pdd

Еще раз спасибо за помощь!
22.02.2009, 07:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ays[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]