• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена помогите снести backdoor.win32.hijack.ac

Статус
В этой теме нельзя размещать новые ответы.

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#1
добрый день. Взял на лечение от вирусов у знакомой ноутбук. Все бы хорошо, но Каспер 2009 не может удалить один файл, пишет что при перезагрузке он удалится, но он снова восстанавливается. Файл называется vmohgfhm.dll и находится по адресу C:\WINDOWS\system32.
Интернет что то выгружает на 30% загрузки сети
Раньше с такими проблемами не сталкивался вот и обратился к вашему сайту)))
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#2
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\ati5nuxx.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('ati5nuxx', 4);
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\PROGRA~1\AIMP2\System\AIMP_S~1.DLL','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys','');
 QuarantineFile('C:\WINDOWS\Drivers\ati2bixx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmohgfhm.dll','');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati5nuxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\ati0hoxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1xgxx.sys');
 DeleteFile('C:\WINDOWS\\Drivers\ati2xgxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6tbxx.sys');
 DeleteFile('C:\WINDOWS\Drivers\ati6tbxx.sys');
 DeleteFile('vmohgfhm.dll');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\vmohgfhm32.dll');
 DeleteFile('C:\WINDOWS\system32\vmohgfhm.dll');
 DeleteService('ati5nuxx');
 DeleteService('ati0hoxx');
 DeleteService('ati1xfxx');
 DeleteService('ati1xgxx');
 DeleteService('ati2bixx');
 DeleteService('ati4lsxx');
 DeleteService('ati6tbxx');
 DeleteService('ati7ygxx');
 DeleteService('FCI');
 DeleteService('ICF');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код:
 	O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - Winlogon Notify: vmohgfhm - C:\WINDOWS\SYSTEM32\vmohgfhm32.dll
Обязательно обновите базы AVZ, включите AVZPM и повторите логи. Без обновление баз AVZ не увидит и 50% сокрытых зловредов.

Диск E: это флешка?
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#4
Это не все...убрана только вершина айсберга.
 

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#5
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
можно с этим поконкретнее? куда этот код вписывать?:confused:
 

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#7
сделал повторные логи с обновленными базами.
какой следующий ход событий?
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#8
При помощи Icesword добейте:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
Если они есть

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\rs32net.exe','');
 DeleteService('ati7ygxx');
 DeleteService('ati2bixx');
 DeleteFile('C:\WINDOWS\system32\drivers\InCDFs.sys');
 DeleteFile('C:\WINDOWS\system32\rs32net.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ati7ygxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati2bixx.sys');
 SysCleanAddFile('ati0dkxx.sys');
  SysCleanAddFile('ati0hoxx.sys');
  SysCleanAddFile('ati0qyxx.sys');
  SysCleanAddFile('ati1ipxx.sys');
  SysCleanAddFile('ati1saxx.sys');
  SysCleanAddFile('ati1xfxx.sys');
  SysCleanAddFile('ati1xgxx.sys');
  SysCleanAddFile('ati2bixx.sys');
  SysCleanAddFile('ati2wfxx.sys');
  SysCleanAddFile('ati2xfxx.sys');
  SysCleanAddFile('ati2ygxx.sys');
  SysCleanAddFile('ati3elxx.sys');
  SysCleanAddFile('ati3iqxx.sys');
  SysCleanAddFile('ati3ovxx.sys');
  SysCleanAddFile('ati3saxx.sys');
  SysCleanAddFile('ati4ipxx.sys');
  SysCleanAddFile('ati4lsxx.sys');
  SysCleanAddFile('ati4nvxx.sys');
  SysCleanAddFile('ati5bixx.sys');
  SysCleanAddFile('ati5krxx.sys');
  SysCleanAddFile('ati5nuxx.sys');
  SysCleanAddFile('ati5xfxx.sys');
  SysCleanAddFile('ati6eyxx.sys');
  SysCleanAddFile('ati6tbxx.sys');
  SysCleanAddFile('ati6udxx.sys');
  SysCleanAddFile('ati7qxxx.sys');
  SysCleanAddFile('ati8dkxx.sys');
  SysCleanAddFile('ati8fmxx.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А карантина Вашего не вижу :) Подсказка: замените <at> - @ это маскировка от спам-ботов.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И логи повторить надо....опять мусора море осталось от зловреда.
 

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#9
большое огромнейшее спасибо за помощь.

ПыСы:
C:\WINDOWS\system32\drivers\ati7ygxx.sys
C:\WINDOWS\system32\drivers\ati2bixx.sys
этих файлов я не нашел...
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А карантина Вашего не вижу Подсказка: замените <at> - @ это маскировка от спам-ботов.
ну вообще то я со старта так и понял))) Письмо с карантином отправил вам давно... оно к вам не пришло?
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#10
Карантин получил :) Потерялся в общем потоке.

Но в него из того, что нам надо не попало :)
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#11
Как работает безопасный режим?
 

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#12
вроде нормально, ничего не заметил... могут быть какие то проблемы?
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#13
Записи в реестре остались. Но точнее после логов.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#15
В реестре остались записи вида
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dkxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2xfxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2ygxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3elxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3iqxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ovxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3saxx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ipxx.sys]
Как видите эти файлы должны были запустится в безопасном режиме. Обычный уже подчистили :)

Выполните мои последние рекомендации посмотрим как AVZ отработала.


Получил новый карантин....ничиго вредоносного не попало
 

arthur_a86

Активный пользователь
Сообщения
9
Симпатии
0
#16
очень благодарен за помощ.
Ноут уже отдал, надеюсь проблем не будет)))
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#17
На работу влиять не должно.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#18
В общем если что - то обращайтесь, постараемся помочь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу