winnt64.dll

[AlexS]

Здравствуйте!

Стоит Нод и Авира. При каждом включении компьютера Авира находит вирус winnt64.dll в папке system32\drivers. И не удаляет. Логи прилагаю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\WinNt64.dll

C:\WINDOWS\system32\Drivers\Tdk65.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll','');QuarantineFile('haskel32.dll','');QuarantineFile('WinNt64.dll','');SetServiceStart('Rbi18', 4);SetServiceStart('Qai18', 4);SetServiceStart('Pyg42', 4);SetServiceStart('Nvd64', 4);SetServiceStart('Jsa21', 4);SetServiceStart('msupdate', 4);SetServiceStart('EventSystemMSIServer', 4);SetServiceStart('Enu75', 4);SetServiceStart('Enu64', 4);SetServiceStart('Enn42', 4);SetServiceStart('Tdk65', 4);QuarantineFile('D:\Fxdrv.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');QuarantineFile('C:\WINDOWS\system32\advapi32l.exe','');QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');QuarantineFile('c:\windows\system32\mssrv32.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\Tdk65.sys','');QuarantineFile('c:\windows\system32\svchost.exe','');DeleteFile('C:\WINDOWS\system32\Drivers\Tdk65.sys');DeleteFile('c:\windows\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\advapi32l.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Tdk65.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enn42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enu64.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enu75.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jsa21.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Nvd64.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pyg42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qai18.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Rbi18.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tck21.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tdk07.sys');DeleteFile('WinNt64.dll');DeleteFile('haskel32.dll');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteService('Tdk07');DeleteService('Tck21');DeleteService('Rbi18');DeleteService('Qai18');DeleteService('Pyg42');DeleteService('Nvd64');DeleteService('Enu75');DeleteService('Enu64');DeleteService('Enn42');DeleteService('Tdk65');DeleteService('Jsa21');DeleteService('msupdate');DeleteService('EventSystemMSIServer');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 O2 - BHO: Std plugin - {096059FD-99AB-41eb-9E55-59AEB0A3B444} - haskel32.dll (file missing)O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

Это Ваш провайдер?

85.255.115.29 85.255.112.61

85.255.112.0 - 85.255.127.255

UkrTeleGroup Ltd.

Ukraine

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

UkrTeleGroup

Source: whois.ripe.net

Если нет то:

Пофиксить в HijackThis следующие строчки

 O17 - HKLM\System\CCS\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CCS\Services\Tcpip\..\{19070BAF-59E3-4B3E-BA3B-EEB6A2B7CED2}: NameServer = 192.168.1.1,85.255.112.61O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61O17 - HKLM\System\CS1\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61O17 - HKLM\System\CS2\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61

Повторите логи.

Изменено 26 июля, 2008 пользователем akoK

[AlexS]

Icesword удалил сам файл winnt64.dll , tdk65.sys я не нашел, за то после ребута Нод сообщил о файле fdk07.sys в той же папке. И удалил его. Файл winnt64.dll появился снова, снова я его удалил, сейчас запущу скрипт в AVZ.

[AlexS]

После перезагрузки файл снова появился, и Нод сообщил о других файлах ksb76.sys, luk54.sys все в той же папке drivers. Пофиксил всё в Hijackthis - интернет на зараженной машине вообще пропал...

Что делать?

[akoK]

Проблемы с сетью после лечения.

Правильно, Вы пофиксили измененные сервера.....интернет может пропасть.

1. Во время лечения вы отключали НОД?

2. Действия были Icesword => перезагрузка => скрипт? (антивирус в это время должен быть отключен)

3. Подготовка нового комплекта логов.....этот зловред с первого прогона не уходит.

Изменено 29 июля, 2008 пользователем akoK

[AlexS]

1. Нод не отключали.

2. Да, скрипт был после перезагрузки. Но антивирус не выключали.

3. Логи.

Скрипт под номером 3 в AVZ включал сегодня днем при включенном восстановлении системы (включил чтоб попробовать восстановить хотя бы интернет). Сейчас выключил восстановление, выключил Нод и доделал логи.

Судя по активности сетевого подключения и netstat - комп сейчас активно рассылает спам...

ЗЫ. Интернет отремонтировал утилиткой что Вы дали :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

У Вас какие-то остатки Авиры в системе.

При помощи Icesword удалите C:\WINDOWS\System32\Drivers\Fnv10.sys и C:\WINDOWS\system32\WinNt64.dll

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\System32\Drivers\Fnv10.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Fdk07.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ksb76.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Vfm20.sys');DeleteFile('WinNt64.dll');DeleteFile('C:\WINDOWS\system32\WinNt64.dll');BC_ImportAll;BC_DeleteSvc('Vfm20');BC_DeleteSvc('Ksb76');BC_DeleteSvc('Fdk07');BC_DeleteSvc('Fnv10');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Только не забывайте отключать все программы защиты при удалении врагов при помощи Icesword и при работе с АВЗ.

Повторите логи.

[AlexS]

готово

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

При помощи Icesword удалите C:\WINDOWS\system32\Drivers\Fnv42.sys

А в безопасном режиме

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll','');SetServiceStart('Wfn75', 4);SetServiceStart('Luc54', 4);QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');SetServiceStart('Fnv42', 4);QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');DeleteFile('C:\WINDOWS\system32\Drivers\Fnv42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Fnv42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Luc54.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wfn75.sys');DeleteFile('WinNt64.dll'); DeleteService('Wfn75');DeleteService('Luc54');DeleteService('Fnv42');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing) 

Сложный однако зловред.....повторите логи.

На каких сайта проводите время....между сеансами лечения?

[AlexS]

по работе в основном на туристических сайтах бываем

новые логи прилагаю

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Какие проблемы остались?

[akoK]

То что попало в карантин....безвредно.