Показано с 1 по 7 из 7.

Неубиваемая WinNt64.dll (заявка № 43535)

  1. #1
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    29
    Вес репутации
    55

    Thumbs up Неубиваемая WinNt64.dll

    На компьютере установлен антивирус AVG Free.
    Он-то и обнаружил в С:\WINDOWS\system32\ файл WinNt64.dll , проклассифицировав его неким трояном (по заверениям AVG эта библиотека как-то связанна с процессом winlogon.exe).
    Далее мне было сообщено что вирус будет удалён после перезагрузки.
    После перезагрузки WinNt64.dll оказалась на месте, как ни в чём не бывало.
    Попытки удалить или переименовать файл ничего не дали - какая-то зараза его всё время восстанавливала.

    В поисках решения набрёл на ключ реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt64\
    но и он оказался бессмертным и саморегенирирующимся.

    Потом обратился к вашему форуму и провел все процедуры согласно инструкции.
    В процессе этого компьютер заметно "подлечился" (WinNt64.dll больше не появляется), однако хотелось бы узнать мнение экспертов на счёт возможного остаточного заражения.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А/вирус надо отключить!!
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\GlavBuh\Local Settings\Temp\winvanobove.exe','');
     QuarantineFile('WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe_','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Vbg51.sys','');
     DeleteService('Vbg51');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\rspSanity32.sys','');
     DeleteService('rspSanity');
     QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
     DeleteService('qandr');
     QuarantineFile('C:\WINDOWS\TEMP\e7e904ac.tmp srv','');
     DeleteService('W32Timelanmanserver');
     DeleteFile('C:\WINDOWS\TEMP\e7e904ac.tmp srv');
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\rspSanity32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vbg51.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe_');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('WinNt64.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки сделать и прислать новые логи.
    Загрузить карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    29
    Вес репутации
    55
    Загрузил карантин.
    Повторные логи сделаю как смогу (в понедельник скорее всего).

  5. #4
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    29
    Вес репутации
    55
    Вот, сделал новые протоколы.
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В карантине был свежак:
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение. - ответ из ЛК.

    Добавлено через 3 минуты

    Профиксить:
    Код:
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
    Установить СП3 + обновления.
    Последний раз редактировалось PavelA; 13.04.2009 в 14:11. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    09.04.2009
    Сообщений
    29
    Вес репутации
    55
    Цитата Сообщение от PavelA Посмотреть сообщение
    В карантине был свежак:
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение. - ответ из ЛК.
    То-то его ничего не брало

    Огромное спасибо за помощь.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\glavbuh\local settings\temp\winvanobove.exe - Trojan-Spy.Win32.Zbot.rnn ( DrWEB: Trojan.Webmoner.60950 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Rib, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неубиваемая реклама на рабочем столе
      От snick в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.07.2009, 23:42
    2. WinNt64.dll жрёт трафик
      От Tim-tim в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:05
    3. WinNt32.dll и WinNt64.dll
      От Sharky1984 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.06.2008, 16:20
    4. Не удаляются Касперским winnt64.dll и Lll34.sys
      От alex_zar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2008, 20:44
    5. Неубиваемая папка WPDNSE
      От Exxx в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.12.2006, 02:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01648 seconds with 20 queries