Показано с 1 по 14 из 14.

WinNT32.dll (заявка № 25131)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36

    Exclamation WinNT32.dll

    В файле WinNT32.dll обнаружен троян. Антивир каждый раз обнаруживает его и обезвреживает, но безрезультатно, после перезагрузки все повторяется. Также имеется подозрительный файл Buffon.exe
    Выполняя пункт 8 Ваших требований комп выполняет стандартный скрипт - потом все обрывается, синий экран и перезагрузка, в логах virusinfo_syscure.zip не сохраняется, не знаю с чем это связано - пробовал несколько раз. 2 других лога прикрепляю.
    Подскажите что делать...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Прочитайте тут и удалите через опцию force delete
    Код:
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    1.Отключите ПК от сети.
    2.Отключите Антивирус.
    3.Отключите системное востановление.
    4. Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKLM\..\Run: [advap32] C:\WINDOWS\TEMP\7B48.tmp/r
    O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ïåòð\cftmon.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
    O17 - HKLM\System\CS1\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
    O17 - HKLM\System\CS2\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\buffoon.exe');
     DeleteService('cgJ60');
     DeleteService('Jnr50');
     DeleteService('aeH36');
     DeleteService('chK60');
     DeleteService('Rvy04');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
     QuarantineFile('C:\Buffoon.exe','');
     QuarantineFile('c:\buffoon.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\cgJ60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jnr50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aeH36.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\chK60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Rvy04.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Петр\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7B48.tmp/r','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\kdgdi.exe','');
     QuarantineFile('kdgdi.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys','');
     QuarantineFile('Lch30.sys','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
     DeleteFile('Lch30.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys');
     DeleteFile('kdgdi.exe');
     DeleteFile('C:\WINDOWS\system32\kdgdi.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\TEMP\7B48.tmp/r');
     DeleteFile('C:\Documents and Settings\Петр\cftmon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rvy04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\chK60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\aeH36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
     DeleteFile('c:\buffoon.exe');
     DeleteFile('C:\Buffoon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    6. Очистите темп-папки и кэш проводников.
    7. Закачайте карантин по красной ссылке вверху темы
    8. Повторите логи.
    Последний раз редактировалось Rene-gad; 22.06.2008 в 18:18.

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Карантин отправил, с логами та же беда. При выполнении 1го скрипта комп перезагружается и скрипт не сохраняет.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    1.Отключите Антивирус и файрволл
    2.Отключите системное востановление.
    3. Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    4. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelWinlogonNotifyByFileName('WinCtrl32.dll ')
     DeleteService('Jnr50');
     DeleteService('cgJ60');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Lch30.sys','');
     QuarantineFile('Lch30.sys','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
     DeleteFile('Lch30.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Lch30.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    5. Очистите темп-папки и кэш проводников.
    6. Закачайте карантин по красной ссылке вверху темы
    7. Повторите логи начиная от стандартного скрипта 2

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Строчку O20 - Winlogon Notify - пофиксил.
    При выполнении скрипта происходит тоже самое, что при выполнении 1го лога идет процесс, потом синий экран и перезагрузка. Пробовал несколько раз. В карантин, который я вам отправил, вроде бы ничего не добавилось. Кстати в скрипте в 4й строчке пропущена ';' и выдается при выполнении ошибка.

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Вот логи.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в IceSword удалите ....
    C:\WINDOWS\system32\Drivers\cgJ60.sys
    C:\WINDOWS\system32\Drivers\Jnr50.sys
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     BC_DeleteSvc('Jnr50');
     BC_DeleteSvc('cgJ60');
     QuarantineFile('Lch30.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\cgJ60.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
     DeleteFile('Lch30.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Карантин отправил (в т.ч. и вчерашние файлы).Вот логи, их опять только 2.
    Скрипт лечения/карантина и сбора информации для раздела "Помогите!" никак не хочет сохранять в логи.
    В карантин почему то только 1 файл добавился...

    Возможно, я что то не так делаю? Может антивир не отключать?
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Удалить в "мече":
    Lch30.sys
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll

    Сразу же профиксить:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

    Затем скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('Lch30.sys','');
     DeleteService('Jnr50');
     DeleteService('cgJ60');
     DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Далее снова сделать логи.

    Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод. Тоже самое с фаерваллами. Их похоже тоже два стоит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Все выполнил, как написано. Выслал карантин за сегодня (вчерашний и позавчерашний не отправлял). Наконец то выполнился скрипт лечения. Прикрепляю логи. Посмотрите что там...
    Еще в логах появился файл virusinfo cure.zip не знаю зачем он нужен.

    Из антивирей стоит только панда со всеми ее приложениями.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    virusinfo cure.zip - присылается по запросу(карантин)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2008
    Сообщений
    10
    Вес репутации
    36
    Посмотрите, пожалуйста, в карантине лог virusinfo_cure.
    Комп по прежнему тормозит: explorer виснит, особенно когда CD загружаю, не грузится Firebird Guardian (его вообще почему то в службах не видно).
    Подскажите как последние загруженные логи....

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Повторю совет:
    Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод.
    Какой из них с лицензией, того и нужно оставить.

    Это должно решить проблему с тормозами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.Delf.ge (DrWEB: Win32.HLLW.Autoruner.1797)
      2. c:\\buffoon.exe - Worm.Win32.Delf.hr (DrWEB: Win32.HLLW.Buffoon)
      3. c:\\windows\\system32\\drivers\\aeh36.sys - Trojan-Dropper.Win32.Agent.stj
      4. c:\\windows\\system32\\drivers\\chk60.sys - Trojan-Dropper.Win32.Agent.stj
      5. c:\\windows\\system32\\kdgdi.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
      6. d:\\autorun.inf - Worm.Win32.Delf.ge (DrWEB: Win32.HLLW.Autoruner.1797)


  • Уважаемый(ая) Borsch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. winNT32.dll
      От vicka в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:47
    2. В WinNt32 троян
      От ivashkaxx в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:41
    3. Winnt32.dll
      От ame в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:12
    4. winnt32.dll
      От Mad в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:06
    5. WinNt32.dll и WinNt64.dll
      От Sharky1984 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.06.2008, 15:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00084 seconds with 17 queries