Показано с 1 по 17 из 17.

Не удается удалить szntimwu.sys (заявка № 49656)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32

    Thumbs up Не удается удалить szntimwu.sys

    Не удается снести заразу szntimwu.sys. Постоянно появляется, после перезагрузки, в /system32/drivers/
    szntimwu.sys и 4686712e.sys
    И после закрытия IE, он снова открывается и ломится на
    hxxp://69.31.80.181/rtc/?u=a8ed187c+C6EC5CB9B52E4AE887B40B3DC354DCBA&g=000 00000000000000000000000000000&src_id=84&v=1.04
    Ничем не получается ее вычеслить и удалить.
    Прошу помощи
    Вложения Вложения
    Последний раз редактировалось akir610; 09.07.2009 в 19:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Уберите активную ссылку!
    Отключите восстановление системы!!!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\sysmgr.exe','');
     QuarantineFile('C:\WINNT\system32\svchosst.exe','');
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
     QuarantineFile('C:\WINNT\System32\drivers\4686712e.sys','');
     QuarantineFile('C:\WINNT\system32\hnxfjkuk.dll','');
     DeleteFile('C:\WINNT\System32\drivers\4686712e.sys');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\rncsys32.exe');
     DeleteFile('C:\WINNT\system32\svchosst.exe');
     DeleteFile('C:\WINNT\system32\sysmgr.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
    Сделайте новые логи по правилам.
    C:\WINNT\system32\hnxfjkuk.dll - проверьте этот файл на http://virustotal.com, дождитесь проверки, скиньте ссылку результата анализа.

  4. #3
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    1. Восстановление системы само включается после перезагрузки (только заметил). Очистил папки System Volume Information вручную

    2. Ссылка hxxp://www.virustotal.com/analisis/4b093e804135a523650c68041d7017f78acfb1b311621c1e0e abb44765ad3885-1247154733

    3. Результат загрузки карантина
    Файл сохранён как - 090709_202659_virus_4a561a5407dcd.zip
    Размер файла - 170569
    MD5 - ac2e178849bbb66eacc8789329603b1e

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    C:\WINNT\system32\hnxfjkuk.dll - зловред, щас удалим, но сначала сделайте новые логи.
    http://virusinfo.info/showthread.php?t=49652 - это тоже Ваша тема, я не понял???
    Последний раз редактировалось DefesT; 09.07.2009 в 19:47.

  6. #5
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    По ходу да...
    Извеняюсь, не заметил как второй админ создал.
    http://virusinfo.info/showthread.php?t=49652 - можно удалять/закрывать
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
    O20 - AppInit_DLLs: ,
    Если это не знакомо, то тоже фикс >>>
    Код:
    O15 - Trusted Zone: http://diagnostic.amadeus.com
    O15 - Trusted Zone: http://*.amadeus.com
    O15 - Trusted Zone: http://*.1a.amadeus.net
    O15 - Trusted Zone: http://diagnostic.1a.amadeus.net
    O15 - Trusted Zone: http://*.amadeuscruise.com
    O15 - Trusted Zone: http://*.amadeusferry.com
    O15 - Trusted Zone: http://*.amadeusproweb.com
    O15 - Trusted Zone: http://*.amadeusproweb.com
    O15 - Trusted Zone: http://*.amadeusvista.com
    O15 - Trusted Zone: http://*.1a.amadeusvista.com
    O15 - Trusted Zone: http://*.amadeusvista.com
    O15 - Trusted Zone: http://*.amadeuscruise.com (HKLM)
    O15 - Trusted Zone: http://*.amadeusferry.com (HKLM)
    O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)
    O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)
    O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)
    O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('03e8cad1-00c6-490d-afdd-05cf3ba68933');
     DelBHO('0343f919-0b33-4163-9276-9a35d918fd5f');
     DelBHO('01f46568-00c6-490d-afdd-05cf3ba68933');
     DeleteService('4686712e');
     DeleteFile('C:\WINNT\system32\hnxfjkuk.dll');
     DeleteFile('C:\WINNT\System32\drivers\4686712e.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('4686712e');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    9. Мастер поиска и устранения проблем
    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
    - вот это желательно исправить!
    Сделайте еще раз новые логи по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    1. Востановление системы включается само после перезагрузки и вроде по истечению некоторого времени.

    2. *.amadeus*,* - относится к амадеусу, программе продажи авиабилетов, настройки IE сделаны под нее.

    3. После выполнения скрипта, винда нашла новое оборудование (ROOT\LEGACY_UZU5MJGW\0000)
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    (ROOT\LEGACY_UZU5MJGW\0000)
    Это вроде драйвер AVZ
    Еще раз...
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('01F46568-00C6-490D-AFDD-05CF3BA68933');
     DeleteFile('C:\WINNT\system32\hnxfjkuk.dll');
     BC_DeleteFile('C:\WINNT\system32\hnxfjkuk.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    Сделайте новые логи по правилам -virusinfo_syscheck.zip и hijackthis.log + лог gmer (скан диска C)

  10. #9
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    Gmer сканит пока.
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Проверьте на virustotal c:\winnt\system32\ptodudj.dll
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    1. Gmer закончил сканить, но кнопки Save нету! Как сохранить лог???
    Разобрался. После сворачивания Gmer'а, кнопка Save пропадает...

    2. Ссылка так и продолжает переодически выскакивать в новом окне, при закрытии окна IE

    3. Ссылка virustotal.com: http://www.virustotal.com/analisis/b...4ac-1247165519

    4. Восстановление системы попрежнему автоматически включается.
    Последний раз редактировалось akir610; 09.07.2009 в 22:02.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelBHO('{2BF8E93F-B9DD-4162-8A1C-B9090B5FB481}');
     QuarantineFile('c:\winnt\system32\termsrv.dll','');
     QuarantineFile('c:\winnt\system32\ptodudj.dll','');
     QuarantineFile('C:\WINNT\system32\hnxfjkuk.dll','');
     DeleteFile('C:\WINNT\system32\hnxfjkuk.dll');
     DeleteFile('c:\winnt\system32\ptodudj.dll');
     DeleteFile('ptodudj.dll');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    Gmer.log

    Результат загрузки карантина
    Файл сохранён как - 090710_005155_virus_4a56586b467f6.zip
    Размер файла - 432578
    MD5 - 30e4a64ba03d87d7dd7d2e9a8a0a7ee7
    Вложения Вложения
    • Тип файла: log Gmer.log (9.1 Кб, 5 просмотров)
    Последний раз редактировалось akir610; 09.07.2009 в 23:52.

  15. #14
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    Ссылка, после закрытия IE больше не выскакивает
    hxxp://69.31.80.181/rtc/?u=a8ed187c+C6EC5CB9B52E4AE887B40B3DC354DCBA&g=000 00000000000000000000000000000&src_id=84&v=1.04

    Восстановление системы само не включается

    Проверьте пжл новые логи
    Вложения Вложения
    Последний раз редактировалось akir610; 10.07.2009 в 02:19.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {01A1FC8C-0B33-4163-9276-9A35D918FD5f} - C:\WINNT\system32\hnxfjkuk.dll (file missing)
    O2 - BHO: (no name) - {01F46568-00C6-490D-AFDD-05CF3BA68933} - C:\WINNT\system32\hnxfjkuk.dll (file missing)
    O2 - BHO: (no name) - {2BF8E93F-B9DD-4162-8A1C-B9090B5FB481} - (no file)
    O20 - Winlogon Notify: mcygjmla - C:\WINNT\
    Прочитайте и выполните:
    http://virusinfo.info/showthread.php?t=43700.

    Больше ничего плохого не видно.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    03.04.2009
    Сообщений
    21
    Вес репутации
    32
    Спасибо за помощь

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Inject.afpp ( DrWEB: Trojan.Botnetlog.11 )
      2. c:\winnt\system32\hnxfjkuk.dll - Trojan-Clicker.Win32.Delf.cbe ( DrWEB: Trojan.Virtumod.1667, BitDefender: Trojan.Generic.1788813 )
      3. c:\winnt\system32\ptodudj.dll - Trojan.Win32.Agent.cpmp ( DrWEB: Trojan.Packed.2473, BitDefender: Trojan.Boaxxe.P )


  • Уважаемый(ая) akir610, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    2. не удается удалить вирус
      От sashakryl в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:52
    3. ftpdll.dll не удается удалить
      От kuznec-off в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:07
    4. Не удается удалить вирус
      От Sergey100 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.11.2008, 23:48
    5. не удается удалить exe файл
      От anatoli в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2008, 00:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01006 seconds with 17 queries