Проблема - Hacktool rootkit

[Мирослав]

Уважаемые, прошу помощи. Symantec E.P. 10 обнаружил hacktool rootkit, проблема схожая с аналогичными на форумепо тем Руткита. Притперезагрузке системы всегда находит Trojan.Panding... Hacktool rootkit он загоняет в карантин, но при поключении сети его это не удерживает и идет бесорядочная рассылка писем с моего компа на неизвестные мне адреса, Symantec E.P. присылает сообщенияо блокировки отосланных писем как спам... Прошу помощи, правила читал. В каких то вопросах могу не понять, не прошарен до конца, просьба сильно не пинать ). Заранее благодарен. Постараюсь прикрепить логи на анализ.

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winls07.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winir31.sys','');
 DeleteService('Winyg74');
 DeleteService('Winls07');
 DeleteService('Winir31');
 DeleteService('SmcServiceDcomLaunch');
 DeleteService('RemoteAccessSmcServiceDcomLaunch');
 DeleteService('AudioSrvRasMan');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winir31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winls07.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Мирослав]

Скрипт выполнен...произошла самоперезагрузка системы. Отправил карантин по правилам, не уерен что дошел! Провел заново стандартные скрипты в AVZ и Hijack...новые логи прилагаются.
Спасибо, жду ответа.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe','');
 BC_DeleteSvc('Winud31');
 BC_DeleteSvc('Wincj86');
 BC_DeleteSvc('WZCSVCHidServ');
 BC_DeleteSvc('SmcServiceDcomLaunch');
 BC_DeleteSvc('RemoteAccessSmcServiceDcomLaunch');
 BC_DeleteSvc('Autodeskdmadmin');
 BC_DeleteSvc('AudioSrvRasMan');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winud31.sys');
 DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Мирослав]

Ок, провел операции... отправляю логи...и карантин

[Мирослав]

Дружище, тебя наверное уморили проблемами...

[V_Bond]

пофиксите ...

Код:

O2 - BHO: (no name) - {AA58ED58-01DD-4D91-8333-CF10577473F7} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

больше ничего плохого ...

[Мирослав]

Шикарно. Спаибо огромное. Все профиксил как предписали. V - Bond вопросик на последок, данная вредоносная прога не нанесла ли мне серьезных ну или средней тяжести повреждений системы. Или онане расчитана на это, имеется ввиду надо ли проводить переустановку системы? Как отблагодарить тебя даж не знаю, мож денег на телефон кинуть..)

[V_Bond]

побывавший у вас зловред использовался для организации спам рассылок и атак на другие компьютеры, может еще чего ... ( у вас воровался трафик)

[Мирослав]

Трафика нет как такового - АНЛИМ ибо, т.е. потерь никаких

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aug (DrWEB: BackDoor.Bulknet.225)