Решена помогите снести backdoor.win32.hijack.ac

Статус
В этой теме нельзя размещать новые ответы.

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
добрый день. Взял на лечение от вирусов у знакомой ноутбук. Все бы хорошо, но Каспер 2009 не может удалить один файл, пишет что при перезагрузке он удалится, но он снова восстанавливается. Файл называется vmohgfhm.dll и находится по адресу C:\WINDOWS\system32.
Интернет что то выгружает на 30% загрузки сети
Раньше с такими проблемами не сталкивался вот и обратился к вашему сайту)))
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\ati5nuxx.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('ati5nuxx', 4);
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\PROGRA~1\AIMP2\System\AIMP_S~1.DLL','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys','');
 QuarantineFile('C:\WINDOWS\Drivers\ati2bixx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys');
 DeleteFile('C:\WINDOWS\\Drivers\ati2xgxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys');
 DeleteFile('C:\WINDOWS\Drivers\ati6tbxx.sys');
 DeleteFile('vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\vmohgfhm32.dll');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteService('ati5nuxx');
 DeleteService('ati0hoxx');
 DeleteService('ati1xfxx');
 DeleteService('ati1xgxx');
 DeleteService('ati2bixx');
 DeleteService('ati4lsxx');
 DeleteService('ati6tbxx');
 DeleteService('ati7ygxx');
 DeleteService('FCI');
 DeleteService('ICF');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. ([email protected])

Пофиксить в HijackThis следующие строчки
Код:
 	O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - Winlogon Notify: vmohgfhm - C:\WINDOWS\SYSTEM32\vmohgfhm32.dll

Обязательно обновите базы AVZ, включите AVZPM и повторите логи. Без обновление баз AVZ не увидит и 50% сокрытых зловредов.

Диск E: это флешка?
 

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
спасибо за помощь.
Диск Е - это СД-Ром
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
Это не все...убрана только вершина айсберга.
 

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
сделал повторные логи с обновленными базами.
какой следующий ход событий?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
При помощи Icesword добейте:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
Если они есть

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\rs32net.exe','');
 DeleteService('ati7ygxx');
 DeleteService('ati2bixx');
 DeleteFile('C:\WINDOWS\system32\drivers\InCDFs.sys');
 DeleteFile('C:\WINDOWS\system32\rs32net.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ati7ygxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati2bixx.sys');
 SysCleanAddFile('ati0dkxx.sys');
  SysCleanAddFile('ati0hoxx.sys');
  SysCleanAddFile('ati0qyxx.sys');
  SysCleanAddFile('ati1ipxx.sys');
  SysCleanAddFile('ati1saxx.sys');
  SysCleanAddFile('ati1xfxx.sys');
  SysCleanAddFile('ati1xgxx.sys');
  SysCleanAddFile('ati2bixx.sys');
  SysCleanAddFile('ati2wfxx.sys');
  SysCleanAddFile('ati2xfxx.sys');
  SysCleanAddFile('ati2ygxx.sys');
  SysCleanAddFile('ati3elxx.sys');
  SysCleanAddFile('ati3iqxx.sys');
  SysCleanAddFile('ati3ovxx.sys');
  SysCleanAddFile('ati3saxx.sys');
  SysCleanAddFile('ati4ipxx.sys');
  SysCleanAddFile('ati4lsxx.sys');
  SysCleanAddFile('ati4nvxx.sys');
  SysCleanAddFile('ati5bixx.sys');
  SysCleanAddFile('ati5krxx.sys');
  SysCleanAddFile('ati5nuxx.sys');
  SysCleanAddFile('ati5xfxx.sys');
  SysCleanAddFile('ati6eyxx.sys');
  SysCleanAddFile('ati6tbxx.sys');
  SysCleanAddFile('ati6udxx.sys');
  SysCleanAddFile('ati7qxxx.sys');
  SysCleanAddFile('ati8dkxx.sys');
  SysCleanAddFile('ati8fmxx.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. ([email protected])

А карантина Вашего не вижу :) Подсказка: замените <at> - @ это маскировка от спам-ботов.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И логи повторить надо....опять мусора море осталось от зловреда.
 

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
большое огромнейшее спасибо за помощь.

ПыСы:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
этих файлов я не нашел...
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. ([email protected])

А карантина Вашего не вижу Подсказка: замените <at> - @ это маскировка от спам-ботов.
ну вообще то я со старта так и понял))) Письмо с карантином отправил вам давно... оно к вам не пришло?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
Карантин получил :) Потерялся в общем потоке.

Но в него из того, что нам надо не попало :)
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
Как работает безопасный режим?
 

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
вроде нормально, ничего не заметил... могут быть какие то проблемы?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
Записи в реестре остались. Но точнее после логов.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
В реестре остались записи вида
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dkxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2xfxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2ygxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3elxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3iqxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ovxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3saxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ipxx.sys]

Как видите эти файлы должны были запустится в безопасном режиме. Обычный уже подчистили :)

Выполните мои последние рекомендации посмотрим как AVZ отработала.


Получил новый карантин....ничиго вредоносного не попало
 

arthur_a86

Новый пользователь
Сообщения
9
Реакции
0
очень благодарен за помощ.
Ноут уже отдал, надеюсь проблем не будет)))
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,602
Реакции
13,972
На работу влиять не должно.
 

antispy

Активный пользователь
Сообщения
102
Реакции
252
В общем если что - то обращайтесь, постараемся помочь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу