Dr.web обнаруживает Trojan.Rntm.10 и Trojan.Packed.612

[Serikgan]

В панели управления появился левый Windows Security Center, который висит в трее и выдает постоянно сообщение что компьютер заражен, и при этом нажимаешь на сообщение, вываливается сканер, который проверяет реестр, находит ошибки, предлагает их удалить. Как только нажимаешь удалить, появляться окно, которое предлагает купить полную версию Windows Security Center. Еще пропала вкладка, в свойствах рабочего стола, где меняется картинка на рабочем столе, и скрин сервер.

[Bratez]

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: karina.dat

Отключив интернет и антивирус, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
 QuarantineFile('C:\WINDOWS\karina.dat','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winlq66.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winlq66.sys');
 DeleteFile('C:\WINDOWS\karina.dat');
 DeleteFile('C:\WINDOWS\system32\karina.dat');
 DeleteFile('C:\WINDOWS\system32\blphcjkbj0e30v.scr');
 DeleteFile('C:\Documents and Settings\Serikgan\Local Settings\Temporary Internet Files\Content.IE5\JQSY1KUT\Install[2].exe');
 DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('xmlprovUPS');
 BC_DeleteSvc('WZCSVCPolicyAgent');
 BC_DeleteSvc('wscsvcRasAuto');
 BC_DeleteSvc('WmdmPmSNCiSvcEventSystemwuauserv');
 BC_DeleteSvc('W32TimeLmHosts');
 BC_DeleteSvc('W32TimeCiSvc');
 BC_DeleteSvc('UPSRemoteRegistry');
 BC_DeleteSvc('TrkWksTlntSvr');
 BC_DeleteSvc('TrkWksRSVP');
 BC_DeleteSvc('SSDPSRVNetman');
 BC_DeleteSvc('SSDPSRVmnmsrvc');
 BC_DeleteSvc('SpoolerImapiService');
 BC_DeleteSvc('SENSAlerter');
 BC_DeleteSvc('ScheduleEventSystem');
 BC_DeleteSvc('RemoteRegistryseclogon');
 BC_DeleteSvc('RemoteRegistrylanmanworkstation');
 BC_DeleteSvc('RemoteAccessProtectedStorageImapiService');
 BC_DeleteSvc('RemoteAccessProtectedStorage');
 BC_DeleteSvc('RasManWebClient');
 BC_DeleteSvc('PolicyAgentRasMan');
 BC_DeleteSvc('PolicyAgentDhcp');
 BC_DeleteSvc('PlugPlaySamSs');
 BC_DeleteSvc('oseNtmsSvc');
 BC_DeleteSvc('NtLmSspTapiSrv');
 BC_DeleteSvc('MSDTCRemoteRegistrylanmanworkstation');
 BC_DeleteSvc('MSDTCAlerter');
 BC_DeleteSvc('ImapiServiceDcomLaunch');
 BC_DeleteSvc('IDriverTUPS');
 BC_DeleteSvc('helpsvcMSCamSvcSpoolerImapiService');
 BC_DeleteSvc('helpsvcMSCamSvcNtmsSvc');
 BC_DeleteSvc('helpsvcMSCamSvc');
 BC_DeleteSvc('EventSystemwuauserv');
 BC_DeleteSvc('EventSystemEventSystem');
 BC_DeleteSvc('DnscacheSpoolerCOMSysApp');
 BC_DeleteSvc('DnscacheSpooler');
 BC_DeleteSvc('CryptSvcW32TimeCiSvc');
 BC_DeleteSvc('CryptSvcRemoteAccess');
 BC_DeleteSvc('ClipSrvIDriverTUPS');
 BC_DeleteSvc('CiSvcEventSystemwuauserv');
 BC_DeleteSvc('BrowserNetDDEdsdm');
 BC_DeleteSvc('BrowserDnscacheUPSRemoteRegistry');
 BC_DeleteSvc('BrowserDnscache');
 BC_DeleteSvc('AlerterNtmsSvc');
 BC_DeleteSvc('AlerterBrowserDnscache');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29929).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.

[Serikgan]

Хрень в трее не исчезла!

[Rene-gad]

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winul11.sys

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите/удалите torrent!!!
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Serikgan\Local Settings\Temporary Internet Files\Content.IE5\JQSY1KUT\Install[2].exe','');
 QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winul11.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\braviax.exe','');
 DeleteService('Winul11');
 DeleteService('WmdmPmSNCiSvcEventSystemwuauservMSDTCAlerter');
 DeleteService('UPSRemoteRegistryAlerterNtmsSvc');
 DeleteService('NetmanWmdmPmSN');
 DeleteService('MSDTCAlerterRemoteRegistryseclogon');
 DeleteService('helpsvcMSCamSvcNtmsSvcDcomLaunch');
 DeleteService('EventSystemTermService');
 DeleteFile('c:\windows\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winul11.sys');
 DeleteFile('C:\WINDOWS\system32\winivstr.exe');
 DeleteFile('C:\Documents and Settings\Serikgan\Local Settings\Temporary Internet Files\Content.IE5\JQSY1KUT\Install[2].exe');
BC_ImportAll;
ExecuteSysClean; 
 BC_DeleteSvc('Winul11');
 BC_DeleteSvc('WmdmPmSNCiSvcEventSystemwuauservMSDTCAlerter');
 BC_DeleteSvc('UPSRemoteRegistryAlerterNtmsSvc');
 BC_DeleteSvc('NetmanWmdmPmSN');
 BC_DeleteSvc('MSDTCAlerterRemoteRegistryseclogon');
 BC_DeleteSvc('helpsvcMSCamSvcNtmsSvcDcomLaunch');
 BC_DeleteSvc('EventSystemTermService');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Serikgan]

но закладки в свойствах экрана так и нет!

[Rene-gad]

но закладки в свойствах экрана так и нет!

Будет Вам и белка, будет и свисток (с)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('DcomLaunchmnmsrvc');
 DeleteService('RasAutostisvc');
 DeleteService('Bonjour Service');
 DeleteFile('C:\Стол\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
BC_ImportAll;
ExecuteSysClean; 
 BC_DeleteSvc('DcomLaunchmnmsrvc');
 BC_DeleteSvc('RasAutostisvc');
executerepair(1);
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Serikgan]

Все нормально работает!! Спасибо за помошь!! Кому и куда писать благодарность?

[Rene-gad]

Удалите АдАваре - он не нужен, а сейчас - просто мешает.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
 DeleteFile('C:\WINDOWS\system32\_scui.cpl');
BC_ImportAll;
ExecuteSysClean; 
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Serikgan]

Что еще осталось? Только кода 020 нет!!

[Rene-gad]

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('xmlprovSCardSvr');
BC_ImportAll;
ExecuteSysClean; 
 BC_DeleteSvc('xmlprovSCardSvr');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил
- Прикрепите логи к новому сообщению.

[Serikgan]

И хто еще ?

[Rene-gad]

И хто еще ?

В логах ничего плохого не видно.
Поставьте Сервис Пак 3, возможно потребуется активация системы.

Кому и куда писать благодарность?

Нажмите на ссылку Поддержите VirusInfo в подписи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 51
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\serikgan\\local settings\\temporary internet files\\content.ie5\\jqsy1kut\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  2. c:\\documents and settings\\serikgan\\local settings\\temporary internet files\\content.ie5\\jqsy1kut\\install[2].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  3. c:\\documents and settings\\serikgan\\local settings\\temporary internet files\\content.ie5\\o9w5tcpw\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  4. c:\\windows\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)
  5. c:\\windows\\system32\\braviax.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.ai (DrWEB: Trojan.Packed.612)
  6. c:\\windows\\system32\\drivers\\winul11.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  7. c:\\windows\\system32\\_scui.cpl - not-a-virus:FraudTool.Win32.XPSecurityCenter.af (DrWEB: Trojan.Fakealert.1317)
  8. c:\\windows\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.bgz (DrWEB: BackDoor.Bulknet.23
  9. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgz (DrWEB: BackDoor.Bulknet.23
  10. c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120