Показано с 1 по 9 из 9.

Winnt32.dll (заявка № 25446)

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    8
    Вес репутации
    58

    Thumbs up Winnt32.dll

    Симптомы: высокий трафик, при подключении к интернету через какое-то время компьютер сам перезагружается.
    Антивирус его находит, но удалить не может. Помогите пожалуйста
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINDOWS\system32\Winnt32.dll
    C:\WINDOWS\system32\Drivers\Ekp52.sys
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: Winnt32 - C:\WINDOWS\SYSTEM32\Winnt32.dlll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     QuarantineFile('D:\WINDOWS\system32\mscorews.dll','');
     QuarantineFile('D:\WINDOWS\system32\browsemu.dll','');
     DeleteService('Partizan');
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\DOCUME~1\user\LOCALS~1\Temp\bfxtray.exe','');
     DeleteService('Winqw16');
     StopService('Winqw16');
     DeleteService('Winio51');
     StopService('Winio51');
     DeleteService('Winfk27');
     StopService('Winfk27');
     DeleteService('Winek73');
     StopService('Winek73');
     SetServiceStart('Partizan', 4);
     QuarantineFile('D:\WINDOWS\system32\drivers\Partizan.sys','');
     DeleteService('Ovc73');
     DeleteService('Ovb30');
     DeleteService('Nty73');
     DeleteService('Lrx40');
     DeleteService('Lrw84');
     DeleteService('kqV40');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     DeleteService('Iot28');
     DeleteService('Hns62');
     DeleteService('Hmr51');
     DeleteService('GMSIPCI');
     DeleteService('Gmr62');
     StopService('Gmr62');
     DeleteService('Flq62');
     StopService('Flq62');
     DeleteService('ethbpzjf');
     StopService('ethbpzjf');
     DeleteService('djO74');
     StopService('djO74');
     DeleteService('Djo62');
     StopService('Djo62');
     DeleteService('diO85');
     StopService('diO85');
     DeleteService('Cin85');
     StopService('Cin85');
     DeleteService('Bhn05');
     StopService('Bhn05');
     DeleteService('Ekp52');
     StopService('Ekp52');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Ekp52.sys','');
     DeleteFile('D:\WINDOWS\system32\Drivers\Ekp52.sys');
     DeleteFile('D:\DOCUME~1\user\LOCALS~1\Temp\bfxtray.exe');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
     DeleteFile('D:\WINDOWS\system32\drivers\Partizan.sys');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Winnt32.dll');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('Winnt32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25446
    ________________
    После всего этого сделайте логи снова.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    8
    Вес репутации
    58
    Всё сделала. Карантин прислала.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DelBHO('{0000DE80-AEC3-70C3-4176-CE509063E000}');
     DelBHO('{00534B55-3155-CA4F-B41D-0E922121D03C}');
     DeleteService('Winqw16');
     StopService('Winqw16');
     DeleteService('Winio51');
     StopService('Winio51');
     DeleteService('Winfk27');
     StopService('Winfk27');
     DeleteService('Winek73');
     StopService('Winek73');
     DeleteService('Ovc73');
     StopService('Ovc73');
     DeleteService('Ovb30');
     StopService('Ovb30');
     DeleteService('Nty73');
     StopService('Nty73');
     DeleteService('Lrx40');
     StopService('Lrx40');
     DeleteService('Lrw84');
     StopService('Lrw84');
     QuarantineFile('D:\WINDOWS\System32\Drivers\kqV40.sys','');
     DeleteService('kqV40');
     StopService('kqV40');
     DeleteService('Ip6Fw');
     DeleteService('Iot28');
     StopService('Iot28');
     DeleteService('Hns62');
     StopService('Hns62');
     DeleteService('Hmr51');
     StopService('Hmr51');
     DeleteService('Gmr62');
     StopService('Gmr62');
     DeleteService('Flq62');
     StopService('Flq62');
     DeleteService('ethbpzjf');
     StopService('ethbpzjf');
     DeleteService('Ekp52');
     StopService('Ekp52');
     DeleteService('djO74');
     StopService('djO74');
     DeleteService('Djo62');
     StopService('Djo62');
     DeleteService('diO85');
     StopService('diO85');
     DeleteService('Cin85');
     StopService('Cin85');
     DeleteService('Bhn05');
     StopService('Bhn05');
     DeleteFile('D:\WINDOWS\System32\Drivers\Bhn05.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Cin85.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\diO85.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Djo62.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\djO74.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Ekp52.sys');
     DeleteFile('D:\WINDOWS\system32\drivers\ethbpzjf.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Flq62.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Gmr62.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Hmr51.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Hns62.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Iot28.sys');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Lrw84.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Lrx40.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Nty73.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Ovb30.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Ovc73.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winek73.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winfk27.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winio51.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winqw16.sys');
     DeleteFile('D:\WINDOWS\system32\browsemu.dll');
     DeleteFile('D:\WINDOWS\system32\mscorews.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O2 - BHO: Shell Search Engine and Control Microsoft - {0000DE80-AEC3-70C3-4176-CE509063E000} - D:\WINDOWS\system32\mscorews.dll (file missing)
    O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - D:\WINDOWS\system32\browsemu.dll (file missing)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
    Повторите логи.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    8
    Вес репутации
    58
    Логи
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Вроде победили..
    Вот это надо еще почистить:

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     DeleteService('kqV40');
     StopService('kqV40');
     DeleteFile('D:\WINDOWS\System32\Drivers\kqV40.sys');
    end.
    Как самоощущения?

    Не мешало бы систему до SP3 обновить.
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    8
    Вес репутации
    58
    Вроде всё чисто. Спасибо огромное. Очень помогли )

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Портал интересует Ваше мнение о помощи в разделе "Помогите"
    Особенно это:
    Цитата Сообщение от anton_dr Посмотреть сообщение
    И, пока Вы ещё здесь, нам важно ваше мнение.
    Всё ли Вам было понятно?
    Устраивает ли Вас форма, в которой проходило лечение?
    Нашли ли Вы полезные материалы у нас?
    Чего, по Вашему мнению, нам не хватает?
    Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo
    The worst foe lies within the self...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.crl (DrWEB: Trojan.Packed.511)


  • Уважаемый(ая) ame, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. winNT32.dll
      От vicka в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:47
    2. В WinNt32 троян
      От ivashkaxx в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:41
    3. winnt32.dll
      От Mad в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:06
    4. WinNT32.dll
      От Borsch в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:06
    5. WinNt32.dll и WinNt64.dll
      От Sharky1984 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.06.2008, 16:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 18 queries