Неуловимый троян

[fransua]

Добрый день.
В системе появился троян, сидит и шлет почту во все концы
Обычный антивирус его не видит и лечить не хочет. Прогнал, согласно правилам, утилиты. Логи в аттаче.

[V_Bond]

отключите восстановление системы !!!
скачайте C:\WINDOWS\System32\Drivers\Winci61.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winci61');
 DeleteService('winmgmtALG');
 DeleteService('ThemesBITS');
 DeleteService('MSIServerSCardSvr');
 DeleteService('mnmsrvcTlntSvr');
 DeleteService('ERSvcClipSrv');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winci61.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winci61.sys');
 DeleteFile('srv.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[fransua]

Сорр по отключению... Посмотрел и подумал, что без галочки - это отключено

Скачал по ссылке прогу, nod32 ругнулся на вирус... Это правильно или нет? Я и не стал запускать...

Карантин выслал. Логи в аттаче.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('LmHostsNOD32krn');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winci61.sys');
 DeleteFile('srv.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('Winci61');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

[fransua]

Отключил, выкладываю.

[Гриша]

В IceSword сделайте этому файлику Winci61.sys Force Delete...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winci61');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winci61');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[fransua]

Сделал как написано. Прикладываю логи.

[V_Bond]

ничего подозрительного ...

[fransua]

Ок Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\services.exe - Email-Worm.Win32.Joleee.c (DrWEB: Trojan.Packed.573)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.l (DrWEB: Trojan.DownLoad.3503)