Не могу вычитить впрусы

Printable View

26.08.2008, 15:48
ВалерийК

Не могу вычитить впрусы

Здравствуйте!
Проблема в том, что антивирусник переодически кричит о различных вирусах
(C:\WINDOWS\System32\drivers\Winsy63.sys Инфицирован Trojan.Rntm...
C:\WINDOWS\System32\drivers\Winyf06.sys Инфицирован Trojan.Rntm.10... )
Сканирование антивирусом выявляет зараженные файлы и они удаляются.
(svscchost.exe Trojan.Packed.573
braviax.exe Trojan.Packed.612
bn1.tmp c:=\windows\temp Trojan.Download.2077)
Повторное сканирование вирусов не выявляет.
После перерзагрузки все повторяется.

Спасибо

Валерий
26.08.2008, 16:07
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyf06');
DeleteService('Winvc52');
DeleteService('Winsy63');
DeleteService('Winou17');
DeleteService('WebClientBITS');
DeleteService('ThemesERSvc');
DeleteService('spiderntNetDDE');
DeleteService('RDSessMgrSamSs');
DeleteService('PolicyAgentMSDTC');
DeleteService('MSDTCwuauserv');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou17.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf06.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winyf06');
BC_DeleteSvc('Winvc52');
BC_DeleteSvc('Winsy63');
BC_DeleteSvc('Winou17');
BC_DeleteSvc('WebClientBITS');
BC_DeleteSvc('ThemesERSvc');
BC_DeleteSvc('spiderntNetDDE');
BC_DeleteSvc('RDSessMgrSamSs');
BC_DeleteSvc('PolicyAgentMSDTC');
BC_DeleteSvc('MSDTCwuauserv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
27.08.2008, 09:08
ВалерийК

Все выполнил.
Карантин выслал.
Прикрепляю логи.
27.08.2008, 10:13
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\Drivers\Winwd52.sys
C:\WINDOWS\System32\Drivers\Winta06.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winta06');
DeleteService('Winwd52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta06.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winwd52.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winwd52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta06.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winta06');
BC_DeleteSvc('Winwd52');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
27.08.2008, 13:44
ВалерийК

Был обнаружен только
C:\WINDOWS\system32\Drivers\Winwd52.sys

Теперь чисто?
27.08.2008, 14:31
Rene-gad

[QUOTE=ВалерийК;275124]Теперь чисто?[/QUOTE][I]Пачти ;)[/I]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('DcomLaunchdmserver');
DeleteService('DhcpW32Time');
DeleteService('EventSystemTermService');
DeleteService('W32TimeWmdmPmSN');
DeleteService('upnphostALG');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('DcomLaunchdmserver');
BC_DeleteSvc('DhcpW32Time');
BC_DeleteSvc('EventSystemTermService');
BC_DeleteSvc('W32TimeWmdmPmSN');
BC_DeleteSvc('upnphostALG');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
27.08.2008, 15:19
ВалерийК

Затаил дыхание, жду ответа.)
27.08.2008, 15:22
Rene-gad

[QUOTE=ВалерийК;275199]Затаил дыхание, жду ответа.)[/QUOTE]А зачем так таинственно? Откройте лог и посмотрите :) - ничего плохого.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
27.08.2008, 16:32
ВалерийК

Да, посмотрел лог. Действительно ничего страшного.)
Большое спасибо за помощь!
Подумалось, вот такие ресурсы как ваш, наверное, должны финансироваться государством!
22.02.2009, 07:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\kib1\\мои документы\\мои рисунки\\infected.!!!\\files\\malware - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\~.exe - [B]Trojan-Downloader.Win32.Agent.acmr[/B] (DrWEB: Trojan.MulDrop.18538)[/LIST][/LIST]