Решена помогите снести backdoor.win32.hijack.ac

Статус
В этой теме нельзя размещать новые ответы.

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
добрый день. Взял на лечение от вирусов у знакомой ноутбук. Все бы хорошо, но Каспер 2009 не может удалить один файл, пишет что при перезагрузке он удалится, но он снова восстанавливается. Файл называется vmohgfhm.dll и находится по адресу C:\WINDOWS\system32.
Интернет что то выгружает на 30% загрузки сети
Раньше с такими проблемами не сталкивался вот и обратился к вашему сайту)))
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\ati5nuxx.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('ati5nuxx', 4);
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\PROGRA~1\AIMP2\System\AIMP_S~1.DLL','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys','');
 QuarantineFile('C:\WINDOWS\Drivers\ati2bixx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys');
 DeleteFile('C:\WINDOWS\\Drivers\ati2xgxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys');
 DeleteFile('C:\WINDOWS\Drivers\ati6tbxx.sys');
 DeleteFile('vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\vmohgfhm32.dll');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteService('ati5nuxx');
 DeleteService('ati0hoxx');
 DeleteService('ati1xfxx');
 DeleteService('ati1xgxx');
 DeleteService('ati2bixx');
 DeleteService('ati4lsxx');
 DeleteService('ati6tbxx');
 DeleteService('ati7ygxx');
 DeleteService('FCI');
 DeleteService('ICF');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код:
 	O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - Winlogon Notify: vmohgfhm - C:\WINDOWS\SYSTEM32\vmohgfhm32.dll
Обязательно обновите базы AVZ, включите AVZPM и повторите логи. Без обновление баз AVZ не увидит и 50% сокрытых зловредов.

Диск E: это флешка?
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
спасибо за помощь.
Диск Е - это СД-Ром
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
Это не все...убрана только вершина айсберга.
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
можно с этим поконкретнее? куда этот код вписывать?:confused:
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
сделал повторные логи с обновленными базами.
какой следующий ход событий?
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
При помощи Icesword добейте:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
Если они есть

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\rs32net.exe','');
 DeleteService('ati7ygxx');
 DeleteService('ati2bixx');
 DeleteFile('C:\WINDOWS\system32\drivers\InCDFs.sys');
 DeleteFile('C:\WINDOWS\system32\rs32net.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ati7ygxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati2bixx.sys');
 SysCleanAddFile('ati0dkxx.sys');
  SysCleanAddFile('ati0hoxx.sys');
  SysCleanAddFile('ati0qyxx.sys');
  SysCleanAddFile('ati1ipxx.sys');
  SysCleanAddFile('ati1saxx.sys');
  SysCleanAddFile('ati1xfxx.sys');
  SysCleanAddFile('ati1xgxx.sys');
  SysCleanAddFile('ati2bixx.sys');
  SysCleanAddFile('ati2wfxx.sys');
  SysCleanAddFile('ati2xfxx.sys');
  SysCleanAddFile('ati2ygxx.sys');
  SysCleanAddFile('ati3elxx.sys');
  SysCleanAddFile('ati3iqxx.sys');
  SysCleanAddFile('ati3ovxx.sys');
  SysCleanAddFile('ati3saxx.sys');
  SysCleanAddFile('ati4ipxx.sys');
  SysCleanAddFile('ati4lsxx.sys');
  SysCleanAddFile('ati4nvxx.sys');
  SysCleanAddFile('ati5bixx.sys');
  SysCleanAddFile('ati5krxx.sys');
  SysCleanAddFile('ati5nuxx.sys');
  SysCleanAddFile('ati5xfxx.sys');
  SysCleanAddFile('ati6eyxx.sys');
  SysCleanAddFile('ati6tbxx.sys');
  SysCleanAddFile('ati6udxx.sys');
  SysCleanAddFile('ati7qxxx.sys');
  SysCleanAddFile('ati8dkxx.sys');
  SysCleanAddFile('ati8fmxx.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А карантина Вашего не вижу :) Подсказка: замените <at> - @ это маскировка от спам-ботов.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И логи повторить надо....опять мусора море осталось от зловреда.
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
большое огромнейшее спасибо за помощь.

ПыСы:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
этих файлов я не нашел...
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А карантина Вашего не вижу Подсказка: замените <at> - @ это маскировка от спам-ботов.
ну вообще то я со старта так и понял))) Письмо с карантином отправил вам давно... оно к вам не пришло?
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
Карантин получил :) Потерялся в общем потоке.

Но в него из того, что нам надо не попало :)
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
Как работает безопасный режим?
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
вроде нормально, ничего не заметил... могут быть какие то проблемы?
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
Записи в реестре остались. Но точнее после логов.
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
В реестре остались записи вида
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dkxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2xfxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2ygxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3elxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3iqxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ovxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3saxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ipxx.sys]
Как видите эти файлы должны были запустится в безопасном режиме. Обычный уже подчистили :)

Выполните мои последние рекомендации посмотрим как AVZ отработала.


Получил новый карантин....ничиго вредоносного не попало
 

arthur_a86

Активный пользователь
Сообщения
9
Реакции
0
Баллы
391
очень благодарен за помощ.
Ноут уже отдал, надеюсь проблем не будет)))
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,917
Баллы
2,203
На работу влиять не должно.
 

antispy

Активный пользователь
Сообщения
103
Реакции
251
Баллы
453
В общем если что - то обращайтесь, постараемся помочь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу