service.exe и прочие

[makstor]

Здравствуйте. Сегодня компьютер посетил вирус, пропущеный НОДом со спокойной совестью (из серии "Spyware detected on your system"). Был немного подлечен, однако потом продолжилось творится страшное. Процесс service.exe многократно размножался. После его убийства иногда всплывает в автозагрузке и при этом профиль не грузится. При правке автозагрузки и перезагрузке системы комп загружается и НОД сразу ругается на вирус Win32/Wigon в system32\drivers. Прошу помочь разобраться и исправить ситуацию.
Примечание: логи были сделаны при удаленном подключении.

[Numb]

А подключение из консоли к данной машине возможно? На время выполнения скриптов машину крайне желательно отключить от сети.
Если возможно, то подключайтесь, на время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строку

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
 DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
 BC_DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
 DeleteService('Winob48');
 DeleteService('Winna11');
 DeleteService('Windh04');
 DeleteService('Mbh14');
 DeleteService('WZCSVCdmadmin');
 DeleteService('VSSRasAuto');
 DeleteService('RasManProtectedStorage');
 DeleteService('PolicyAgentRpcLocator');
 DeleteService('NetDDEdsdmlanmanserver');
 DeleteService('mnmsrvcPlugPlay');
 DeleteService('DnscacheNetman');
 DeleteService('ClipSrvwscsvc');
 DeleteService('BrowserEventlog');
 BC_DeleteSVC('Winob48');
 BC_DeleteSVC('Winna11');
 BC_DeleteSVC('Windh04');
 BC_DeleteSVC('Mbh14');
 BC_DeleteSVC('WZCSVCdmadmin');
 BC_DeleteSVC('VSSRasAuto');
 BC_DeleteSVC('RasManProtectedStorage');
 BC_DeleteSVC('PolicyAgentRpcLocator');
 BC_DeleteSVC('NetDDEdsdmlanmanserver');
 BC_DeleteSVC('mnmsrvcPlugPlay');
 BC_DeleteSVC('DnscacheNetman');
 BC_DeleteSVC('ClipSrvwscsvc');
 BC_DeleteSVC('BrowserEventlog');
 DeleteService('Windh04');
 BC_DeleteSVC('Windh04');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28737 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил. Логи крайне желательно тоже сделать из консольной сессии.

[makstor]

к сожалению, связь с зараженной машиной прервалась, поэтому все выполню завтра при непосредственном общении с оной, со всеми дополительными условиями. Прошу простить за задержку и немного подождать.

[makstor]

Скрипты выполнены в соответствии с правилами (никакого удаленного доступа, непосредственно за зараженной машиной), карантин загружен, прилагаю новые логи. Покорнейше благодарю и жду дальнейших указаний

[Numb]

Пропустили ваши логи, извините
Пофиксите с помощью Hijackthis строки:

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName('WinCtrl32');
 deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
 BC_deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
 DeleteService('stisvcseclogon');
 DeleteService('SENSSENSupnphost');
 DeleteService('SENSSENS');
 DeleteService('lanmanserverRemoteAccess');
 DeleteService('BITSLmHosts');
 BC_DeleteSVC('stisvcseclogon');
 BC_DeleteSVC('SENSSENSupnphost');
 BC_DeleteSVC('SENSSENS');
 BC_DeleteSVC('lanmanserverRemoteAccess');
 BC_DeleteSVC('BITSLmHosts');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, повторите логи, начиная с п. 10 правил.

[makstor]

все сделано. вот новые логи. жду заключения уважаемых специалистов

[Rene-gad]

В логах чисто.
Нужно поставить Сервис Пак 3. Возможно потребуется активация системы.
Какие еще проблемы замечаете?

[makstor]

Проблемы вроде все разрешились, SP3 попробую воткнуть в ближайшее время, да и НОД разочаровывает все больше и больше. Наверное придется заменить на какой нибудь более надежный продукт.
В любом случае всем огромешное спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ирина\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.ayq (DrWEB: Trojan.DownLoad.2077)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ays (DrWEB: Trojan.Packed.573)