Не удается удалить szntimwu.sys
Не удается снести заразу szntimwu.sys. Постоянно появляется, после перезагрузки, в /system32/drivers/
szntimwu.sys и 4686712e.sys
И после закрытия IE, он снова открывается и ломится на
hxxp://69.31.80.181/rtc/?u=a8ed187c+C6EC5CB9B52E4AE887B40B3DC354DCBA&g=000 00000000000000000000000000000&src_id=84&v=1.04
Ничем не получается ее вычеслить и удалить.
Прошу помощи
Последний раз редактировалось akir610; 09.07.2009 в 20:21.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уберите активную ссылку!
Отключите восстановление системы!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\sysmgr.exe',''); QuarantineFile('C:\WINNT\system32\svchosst.exe',''); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\rncsys32.exe',''); QuarantineFile('C:\WINNT\System32\drivers\4686712e.sys',''); QuarantineFile('C:\WINNT\system32\hnxfjkuk.dll',''); DeleteFile('C:\WINNT\System32\drivers\4686712e.sys'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\rncsys32.exe'); DeleteFile('C:\WINNT\system32\svchosst.exe'); DeleteFile('C:\WINNT\system32\sysmgr.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сделайте новые логи по правилам.
C:\WINNT\system32\hnxfjkuk.dll - проверьте этот файл на http://virustotal.com, дождитесь проверки, скиньте ссылку результата анализа.
1. Восстановление системы само включается после перезагрузки (только заметил). Очистил папки System Volume Information вручную
2. Ссылка hxxp://www.virustotal.com/analisis/4b093e804135a523650c68041d7017f78acfb1b311621c1e0e abb44765ad3885-1247154733
3. Результат загрузки карантина
Файл сохранён как - 090709_202659_virus_4a561a5407dcd.zip
Размер файла - 170569
MD5 - ac2e178849bbb66eacc8789329603b1e
C:\WINNT\system32\hnxfjkuk.dll - зловред, щас удалим, но сначала сделайте новые логи.
http://virusinfo.info/showthread.php?t=49652 - это тоже Ваша тема, я не понял???
Последний раз редактировалось DefesT; 09.07.2009 в 20:47.
По ходу да...
Извеняюсь, не заметил как второй админ создал.
http://virusinfo.info/showthread.php?t=49652 - можно удалять/закрывать
Отключите восстановление системы
Пофиксите в Hijackthis:
Если это не знакомо, то тоже фикс >>>Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O20 - AppInit_DLLs: ,Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O15 - Trusted Zone: http://diagnostic.amadeus.com O15 - Trusted Zone: http://*.amadeus.com O15 - Trusted Zone: http://*.1a.amadeus.net O15 - Trusted Zone: http://diagnostic.1a.amadeus.net O15 - Trusted Zone: http://*.amadeuscruise.com O15 - Trusted Zone: http://*.amadeusferry.com O15 - Trusted Zone: http://*.amadeusproweb.com O15 - Trusted Zone: http://*.amadeusproweb.com O15 - Trusted Zone: http://*.amadeusvista.com O15 - Trusted Zone: http://*.1a.amadeusvista.com O15 - Trusted Zone: http://*.amadeusvista.com O15 - Trusted Zone: http://*.amadeuscruise.com (HKLM) O15 - Trusted Zone: http://*.amadeusferry.com (HKLM) O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM) O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM) O15 - Trusted Zone: http://*.amadeusvista.com (HKLM) O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('03e8cad1-00c6-490d-afdd-05cf3ba68933'); DelBHO('0343f919-0b33-4163-9276-9a35d918fd5f'); DelBHO('01f46568-00c6-490d-afdd-05cf3ba68933'); DeleteService('4686712e'); DeleteFile('C:\WINNT\system32\hnxfjkuk.dll'); DeleteFile('C:\WINNT\System32\drivers\4686712e.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('4686712e'); BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
- вот это желательно исправить!9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
Сделайте еще раз новые логи по правилам.
1. Востановление системы включается само после перезагрузки и вроде по истечению некоторого времени.
2. *.amadeus*,* - относится к амадеусу, программе продажи авиабилетов, настройки IE сделаны под нее.
3. После выполнения скрипта, винда нашла новое оборудование (ROOT\LEGACY_UZU5MJGW\0000)
Это вроде драйвер AVZ(ROOT\LEGACY_UZU5MJGW\0000)
Еще раз...
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('01F46568-00C6-490D-AFDD-05CF3BA68933'); DeleteFile('C:\WINNT\system32\hnxfjkuk.dll'); BC_DeleteFile('C:\WINNT\system32\hnxfjkuk.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи по правилам -virusinfo_syscheck.zip и hijackthis.log + лог gmer (скан диска C)
Gmer сканит пока.
Проверьте на virustotal c:\winnt\system32\ptodudj.dll
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
1. Gmer закончил сканить, но кнопки Save нету! Как сохранить лог???
Разобрался. После сворачивания Gmer'а, кнопка Save пропадает...
2. Ссылка так и продолжает переодически выскакивать в новом окне, при закрытии окна IE
3. Ссылка virustotal.com: http://www.virustotal.com/analisis/b...4ac-1247165519
4. Восстановление системы попрежнему автоматически включается.
Последний раз редактировалось akir610; 09.07.2009 в 23:02.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{2BF8E93F-B9DD-4162-8A1C-B9090B5FB481}'); QuarantineFile('c:\winnt\system32\termsrv.dll',''); QuarantineFile('c:\winnt\system32\ptodudj.dll',''); QuarantineFile('C:\WINNT\system32\hnxfjkuk.dll',''); DeleteFile('C:\WINNT\system32\hnxfjkuk.dll'); DeleteFile('c:\winnt\system32\ptodudj.dll'); DeleteFile('ptodudj.dll'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Gmer.log
Результат загрузки карантина
Файл сохранён как - 090710_005155_virus_4a56586b467f6.zip
Размер файла - 432578
MD5 - 30e4a64ba03d87d7dd7d2e9a8a0a7ee7
Последний раз редактировалось akir610; 10.07.2009 в 00:52.
Ссылка, после закрытия IE больше не выскакивает
hxxp://69.31.80.181/rtc/?u=a8ed187c+C6EC5CB9B52E4AE887B40B3DC354DCBA&g=000 00000000000000000000000000000&src_id=84&v=1.04
Восстановление системы само не включается
Проверьте пжл новые логи
Последний раз редактировалось akir610; 10.07.2009 в 03:19.
Пофиксите в HijackThis:
Прочитайте и выполните:Код:O2 - BHO: (no name) - {01A1FC8C-0B33-4163-9276-9A35D918FD5f} - C:\WINNT\system32\hnxfjkuk.dll (file missing) O2 - BHO: (no name) - {01F46568-00C6-490D-AFDD-05CF3BA68933} - C:\WINNT\system32\hnxfjkuk.dll (file missing) O2 - BHO: (no name) - {2BF8E93F-B9DD-4162-8A1C-B9090B5FB481} - (no file) O20 - Winlogon Notify: mcygjmla - C:\WINNT\
http://virusinfo.info/showthread.php?t=43700.
Больше ничего плохого не видно.
I am not young enough to know everything...
Спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Inject.afpp ( DrWEB: Trojan.Botnetlog.11 )
- c:\winnt\system32\hnxfjkuk.dll - Trojan-Clicker.Win32.Delf.cbe ( DrWEB: Trojan.Virtumod.1667, BitDefender: Trojan.Generic.1788813 )
- c:\winnt\system32\ptodudj.dll - Trojan.Win32.Agent.cpmp ( DrWEB: Trojan.Packed.2473, BitDefender: Trojan.Boaxxe.P )
Уважаемый(ая) akir610, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
