-
Junior Member
- Вес репутации
- 58
Атаковали вирусы! DrWeb находит trojan.rntm.10 но не удаляет!
Здравствуйте, история болезни такова. Антивирусник вовремя не был преобретён, два месяца пользовался DrWeb CurelT, проверял компьютеры одинраз в неделю (регулярно скачивал обновления). Одна из сотрудниц скачала и установила анимационную застсвку на неск-ко компов, с ней почему-то автоматом встала прога почистки реестра. Где был антивир NOD32 все нормально, где не было - начались проблемы. Комп начал зависать, тормозить, грузится минут 5-10, намертво зависает при выключении. Заблокировались некоторые программы, а так же диспетчер задач (пишет "заблокированно администратором"). Из трея исчезли регулятор громкости, индикатор сети, хотя в панели управления все указано как надо. DrWeb находит в папке system32\drivers под разными именами (напр. winjp17.sys) трояна trojan.rntm.10 и после перезагрузки изменяет имя файла. Помогите от него избавиться и вернуть диспетчер задач!!!
Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winrx17.sys','');
QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q5.exe','');
QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q2.exe','');
QuarantineFile('C:\WINDOWS\system32\dflgh8jkd2q1.exe','');
QuarantineFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1840.tmp','');
QuarantineFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1312.tmp','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y1917V3K\mshearts[1].exe','');
QuarantineFile('C:\WINDOWS\system32\tokupoup.dll','');
QuarantineFile('C:\WINDOWS\system32\wthunk32.dll','');
DeleteService('Winag06');
DeleteService('Winag16');
DeleteService('Winah28');
DeleteService('Winek16');
DeleteService('Winhn40');
DeleteService('Winhn52');
DeleteService('Winlr06');
DeleteService('Winmr63');
DeleteService('Winpu17');
DeleteService('Winqw73');
DeleteService('Winqy31');
DeleteService('Winrw30');
DeleteService('Winrx17');
DeleteService('Winuc40');
DeleteService('Winvb85');
DeleteService('Winxe16');
DeleteService('Winyf63');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('Gms41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gms41.sys','');
DeleteService('glok+3443-2466');
QuarantineFile('C:\WINDOWS\glok+3443-2466.sys','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\glok+3443-2466.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gms41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf63.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\wthunk32.dll');
DeleteFile('C:\WINDOWS\system32\tokupoup.dll');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y1917V3K\mshearts[1].exe');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1312.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\1840.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\2816.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\316.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3632.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3788.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3892.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\3968.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\msi_setup\4004.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\setup_files\3832.tmp');
DeleteFile('C:\Documents and Settings\Админ\Local Settings\Temp\setup_files\5544.tmp');
DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q1.exe');
DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q2.exe');
DeleteFile('C:\WINDOWS\system32\dflgh8jkd2q5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Здравствуйте, спасибо за оперативную реакцию. Выполнил скрипт - после перезагрузки появился диспетчер задач, ура! А так же ускорилась загрузка компа. Если я правильно понял, повторить логи - значит выполнить повторно операции, указанные в Правилах? Сейча выполняю.
Есть пару вопросов: если не запустил Internet Exploler до начала проверки, можно ли запускать в ходе выполнения скрипта, и на сколько не выполнение этого пункта повлияет на работу AVZ. Пункт №8 "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" проведен без Internet Explolerа.
По завершению запустил DrWeba - trojan.rntm.10 остался. Еще вопрос: в основном окне AVZ есть пункт "методика лечения", я везде заменил "удалить" на " только отчет". Это правильно, или нужно было оставить как есть?
Спасибо. Буду ждать ответ.
Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.
-
скачайте C:\WINDOWS\System32\Drivers\Winwd27.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winjq30');
DeleteService('Winfl41');
DeleteService('Winwd27');
DeleteService('CbEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
DeleteService('CcEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winwd27.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winwd27.sys');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq30.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
-
-
Junior Member
- Вес репутации
- 58
Забыл добавить. При выполнении пункта 12. Нажмите на кнопку "Do a system scan and save a logfile" появляется окно... Хотел вложить скрин, но загрузка не пошла. Вот текст ошибки: "An unexpected error has occurred at procedure: modMain_StartScan() Error #5 - Invaid procedure call or argument" Таже ошибка выскочила вчера, я забыл указать.
Добавлено через 17 минут
Оперативненько! Зпаустил IceSword, вывалилась ошибка:
Invalid failed, error code: 1073741462
Initialize failed
На другом компе IceSword пошел. Как я идумал.
Что теперь, запустить последний скрипт без удаления файла C:\WINDOWS\System32\Drivers\Winwd27.sys ?
Я все же дождусь ответа.
Последний раз редактировалось ScorpioNik; 21.08.2008 в 22:00.
Причина: Добавлено
-
вместо IceSword
скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Winwd27.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...
-
-
Junior Member
- Вес репутации
- 58
Скачал, оключил антивир, отключил интернет (выключаю выдергиванием сетевого кабеля, потомучто в панели управления пишет "сетевое устр. откл.", а сеть при этом есть), установил Rootkit Unhooker. Запускаю - ошибка:
Error creating registry key
Error loading/opening driver
Попробовал опять IceSword - не идет тоже!
-
давайте сначала такой скрипт ...
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 58
Здравствуйте, вот что я сделал:
1). Выполнил последний скрипт
2). IceSword запустился после презагруза
3). force delete искомый файл, правда уже измененное имя на winag52.sys и еще файл с подобным именем но расширением .#ys (DrWeb постарался)
4). выслал карантин
5). повторил логи
Теперь жду вердикта.
P.S.: Запустил быструю проверку DrWeb - trojan.rntm.10 не был обнаружен, ура цель достигнута! Посмотрим, снимется ли блокировка двух необходимых программ. Пока могу сказать, индикатор сети и громкости вернулись трей, спасибо.
И еще, есть ли универсальный способ (на будующее) вернуть диспетчер задач к жизни? Если этот вопрос требует расширенного ответа, подскжите где можно почитать. Еще раз спасибо.
Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YCW8WPDM\mshearts[1].exe','');
DeleteService('Winvc85');
DeleteService('Winkq52');
DeleteService('Winbh17');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc85.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YCW8WPDM\mshearts[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Здравствуйте. Карантин отправил, логи выполнил.
Весь головняк этого компа в том, что установленное Многопользовательское расширение Астер запускается, но второе рабочее место не работает. Суть этой программы - использование видекарты с ддвумя выходами для двух независимых рабочих мест. Она разделяет два монитора и два комплекта клава-мышь. Я связывался с разработчиками, заменял присланное ими ядро программы, но результат нулевой. Проблема появилась одновременно с вирусами, описаными выше.
И еще не удается восстановить работоспособность программы для обмена данных с казначейством "СКЗИ Континент-АП"
Последний раз редактировалось ScorpioNik; 16.07.2010 в 19:34.
-
В логах проблем не видно.
Нужно установить Сервис Пак 3, возможно потребуется активация системы.
Ваши программы возможно придется переустановить или проконсультироваться в техподдержке производителя.
-
-
Junior Member
- Вес репутации
- 58
Сервис Пак-3 ставить не буду, говорят он нормально работает только с Intel. А с разработчиками связываться буду. Переустановить проги нет возможности - слишком много потеряем.
Всем спасибо за помощь! Мне понравилась ваша работа!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\ycw8wpdm\\mshearts[1].exe - Trojan-Downloader.Win32.Injecter.sg (DrWEB: Trojan.Spambot.3400)
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\y1917v3k\\mshearts[1].exe - Trojan-Downloader.Win32.Injecter.sg (DrWEB: Trojan.Spambot.3400)
- c:\\documents and settings\\админ\\local settings\\temp\\msi_setup\\1312.tmp - Packed.Win32.Tibs.ko
- c:\\documents and settings\\админ\\local settings\\temp\\msi_setup\\1840.tmp - Packed.Win32.Tibs.ko
- c:\\windows\\svchost.exe - Trojan.Win32.Agent.amtq
- c:\\windows\\system32\\dflgh8jkd2q1.exe - Trojan.Win32.Agent.amtr
- c:\\windows\\system32\\dflgh8jkd2q2.exe - Trojan.Win32.Agent.amtr
- c:\\windows\\system32\\dflgh8jkd2q5.exe - Trojan.Win32.Agent.amtr
- c:\\windows\\system32\\drivers\\winrx17.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\..\\svchost.exe - Trojan.Win32.Agent.amtq
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayt (DrWEB: Trojan.Packed.573)
- c:\\windows\\winlogon.exe - Trojan.Win32.Agent.amtp
-