Помогите с Trojan-Downloader.Win32.Mutant.aim

Printable View

04.12.2008, 11:16
fGremlin

Вложений: 3

Помогите с Trojan-Downloader.Win32.Mutant.aim

Пробовал сам чистить, не получается... что-то не добил... помогите разобраться!
Логи вложил...
04.12.2008, 11:22
Гриша

В IceSword сделайте этому файлу Force Delete:

[CODE]C:\WINDOWS\System32\Drivers\Winaw31.sys[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyv83');
DeleteService('Winyj73');
DeleteService('Winye55');
DeleteService('Winyb28');
DeleteService('Winxd82');
DeleteService('Winwh00');
DeleteService('Winvb55');
DeleteService('Winuu45');
DeleteService('Winty68');
DeleteService('Wintb60');
DeleteService('Winsi14');
DeleteService('Winrm86');
DeleteService('Winrj88');
DeleteService('Winrc55');
DeleteService('Winqb63');
DeleteService('Winpu73');
DeleteService('Winps77');
DeleteService('Winpi33');
DeleteService('Winov50');
DeleteService('Winoo77');
DeleteService('Winnq84');
DeleteService('Winlb71');
DeleteService('Winku73');
DeleteService('Winkp07');
DeleteService('Winkn70');
DeleteService('Winjj88');
DeleteService('Winje85');
DeleteService('Winid85');
DeleteService('Winid64');
DeleteService('Winhh00');
DeleteService('Wingt17');
DeleteService('Winfu25');
DeleteService('Winfn50');
DeleteService('Winfk46');
DeleteService('Winfi65');
DeleteService('Winfa63');
DeleteService('Winfa46');
DeleteService('Winev05');
DeleteService('Windf84');
DeleteService('Wincy22');
DeleteService('Wincw86');
DeleteService('Wincp08');
DeleteService('Winck30');
DeleteService('Wince14');
DeleteService('Winbd65');
DeleteService('Winbd64');
DeleteService('Winbb57');
DeleteService('Winac64');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winac64.sys','');
DeleteService('Winaw31');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winaw31.sys','');
QuarantineFile('c:\documents and settings\user\user.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winaw31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winac64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbb57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbd64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbd65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbt64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wince14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winck30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincp08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincw86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincy22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windf84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfa46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfa63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfi65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfu25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingt17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winid64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winid85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winil36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winje85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjj88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winku73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlb71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoo77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpi33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqb63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrc55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrj88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrm86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsi14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuu45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwh00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyb28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyj73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyv83.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
04.12.2008, 12:31
fGremlin

Вложений: 3

Карантин отправил: Файл сохранён как 081204_032907_virus_4937a2e36f394.zip
логи прикладываю... вычистилось не все и логи делал в безопасном режиме потому что в обычном тупит ужасно...
04.12.2008, 12:38
Гриша

Логи нужны из обычного режима...
04.12.2008, 12:40
fGremlin

в обычном режиме не могу зайти на диси, в моем компьютере ничего не видит... в диспетчере появились какие-то странные прилодения "User.exe" и "netsh.exe"....
04.12.2008, 13:03
fGremlin

Вложений: 3

логи из обычного режима:
04.12.2008, 13:15
Гриша

В IceSword сделайте этим файлам Force Delete:

[CODE]C:\WINDOWS\system32\drivers\Winyv84.sys
C:\WINDOWS\system32\WinCtrl32.dll[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winaw31');
DeleteService('Winnq84');
DeleteFile('C:\WINDOWS\system32\Drivers\Winnq84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaw31.sys');
DeleteFile('C:\Documents and Settings\User\User.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Winyv84.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winaw31');
BC_DeleteSvc('Winnq84');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
04.12.2008, 13:55
fGremlin

Вложений: 3

Приложил логи
Но тупит сильно... особенно в моем компьютере при открытии долго обновляет список дисков...
04.12.2008, 13:59
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]

Это вам известно?

[CODE]C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe[/CODE]
04.12.2008, 14:04
fGremlin

C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe
нет, это не известно... но и на рабочем столе не нашел такого файла...
04.12.2008, 14:19
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe','');
end.[/CODE]

Если попадет в карантин пришлите...
04.12.2008, 14:24
fGremlin

ок, пришлю.
еще, что может означать данная запись при сканировании AVZ:
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2136, имя = "\Device\HarddiskVolume1\WINDOWS\system32\wbem\wmiadap.exe"
>> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

нет, в карантин ничего не попало...
04.12.2008, 14:28
Гриша

Это нормальный файл...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункт 2 диагностики...
04.12.2008, 14:35
fGremlin

что есть пункт 2? стандартные скрипты?
04.12.2008, 14:42
Гриша

В правилах посмотрите...
04.12.2008, 14:59
fGremlin

Вложений: 1

Сори, затупил... прикладываю
04.12.2008, 15:08
Гриша

В логе чисто, SP3 установите и все остальные апдейты...
04.12.2008, 15:14
fGremlin

Ок, буду наблюдать! Огромное спасибо!
22.02.2009, 09:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]60[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\winbb57.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winbd64.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winbd65.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winbt64.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wince14.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winck30.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wincp08.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wincw86.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wincy22.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\windf84.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winev05.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winfa46.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winfa63.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winfi65.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winfk46.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winfu25.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wingt17.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winhh00.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winid64.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winid85.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winil36.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winje85.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winjj88.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winkn70.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winkp07.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winku73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winlb71.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winnq84.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winoo77.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winov50.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winps77.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winpu73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winqb63.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winrc55.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winrj88.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winrm86.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winsi14.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\wintb60.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winuu45.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winvb55.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winwh00.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winxd82.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winyb28.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winye55.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winyj73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winyv83.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\drivers\\winyv84.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[/LIST][/LIST]