Trojan.Rntm.10

Printable View

05.10.2008, 22:19
monul

Вложений: 3

Trojan.Rntm.10

Здавствуйте! drweb обнаруживает и лечит трояны:

[SIZE=1][I]05-10-2008 21:27:06 [CL] D:\WINDOWS\System32\drivers\Wincj41.sys - инфицирован Trojan.Rntm.10[/I][/SIZE]
[I][SIZE=1]05-10-2008 21:27:06 [CL] D:\WINDOWS\System32\drivers\Wincj41.sys - исцелен[/SIZE][/I]
[I][SIZE=1]05-10-2008 21:27:10 [CL] D:\Documents and Settings\RWB\Local Settings\Temporary Internet Files\Content.IE5\ERIXQP89\bmwgame[1].exe - инфицирован BackDoor.IRC.Nite.18[/SIZE][/I]
[I][SIZE=1]05-10-2008 21:27:10 [CL] D:\Documents and Settings\RWB\Local Settings\Temporary Internet Files\Content.IE5\ERIXQP89\bmwgame[1].exe - исцелен[/SIZE][/I]
[I][SIZE=1]05-10-2008 21:27:10 [CL] D:\WINDOWS\system32\drivers\125.exe - инфицирован BackDoor.IRC.Nite.18[/SIZE][/I]
[I][SIZE=1]05-10-2008 21:27:10 [CL] D:\WINDOWS\system32\drivers\125.exe - исцелен[/SIZE][/I]
однако после перезагрузки и подключения к интернету все повторяется. Помогите.
05.10.2008, 22:30
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\found.000\dir0000.chk\ijl11.dll','');
QuarantineFile('..\~.exe/r','');
DeleteService('Winxi44');
DeleteService('Winwg66');
DeleteService('Winsc66');
DeleteService('Winqb77');
DeleteService('Winqb32');
DeleteService('Winnu53');
DeleteService('Winis00');
DeleteService('Winip64');
DeleteService('Winhr55');
DeleteService('Wingo28');
DeleteService('Winen44');
DeleteService('Winen00');
DeleteService('Winaj54');
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\WINDOWS\System32\Drivers\Winaj54.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winen00.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winen44.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Wingo28.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winhr55.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winip64.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winis00.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winnu53.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winqb32.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winqb77.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winsc66.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winwg66.sys');
DeleteFile('..\~.exe/r');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\found.000\dir0000.chk\ijl11.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
06.10.2008, 00:01
monul

Вложений: 3

повторные логи
06.10.2008, 00:15
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxi44');
DeleteService('Wincj41');
DeleteFile('D:\WINDOWS\System32\Drivers\Wincj41.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winxi44.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winxi44');
BC_DeleteSvc('Wincj41');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи AVZ...
06.10.2008, 00:59
monul

Вложений: 3

новые логи
06.10.2008, 11:38
PavelA

В логах чисто. При желании можете разобраться вот с этим:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
22.02.2009, 08:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bot[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]