winnt64.dll

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll','');QuarantineFile('haskel32.dll','');QuarantineFile('WinNt64.dll','');SetServiceStart('Rbi18', 4);SetServiceStart('Qai18', 4);SetServiceStart('Pyg42', 4);SetServiceStart('Nvd64', 4);SetServiceStart('Jsa21', 4);SetServiceStart('msupdate', 4);SetServiceStart('EventSystemMSIServer', 4);SetServiceStart('Enu75', 4);SetServiceStart('Enu64', 4);SetServiceStart('Enn42', 4);SetServiceStart('Tdk65', 4);QuarantineFile('D:\Fxdrv.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');QuarantineFile('C:\WINDOWS\system32\advapi32l.exe','');QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');QuarantineFile('c:\windows\system32\mssrv32.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\Tdk65.sys','');QuarantineFile('c:\windows\system32\svchost.exe','');DeleteFile('C:\WINDOWS\system32\Drivers\Tdk65.sys');DeleteFile('c:\windows\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\advapi32l.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Tdk65.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enn42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enu64.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Enu75.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jsa21.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Nvd64.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pyg42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qai18.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Rbi18.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tck21.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tdk07.sys');DeleteFile('WinNt64.dll');DeleteFile('haskel32.dll');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteService('Tdk07');DeleteService('Tck21');DeleteService('Rbi18');DeleteService('Qai18');DeleteService('Pyg42');DeleteService('Nvd64');DeleteService('Enu75');DeleteService('Enu64');DeleteService('Enn42');DeleteService('Tdk65');DeleteService('Jsa21');DeleteService('msupdate');DeleteService('EventSystemMSIServer');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 O2 - BHO: Std plugin - {096059FD-99AB-41eb-9E55-59AEB0A3B444} - haskel32.dll (file missing)O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

Это Ваш провайдер?

85.255.115.29 85.255.112.61

85.255.112.0 - 85.255.127.255

UkrTeleGroup Ltd.

Ukraine

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

UkrTeleGroup

Source: whois.ripe.net

Если нет то:

Пофиксить в HijackThis следующие строчки

 O17 - HKLM\System\CCS\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CCS\Services\Tcpip\..\{19070BAF-59E3-4B3E-BA3B-EEB6A2B7CED2}: NameServer = 192.168.1.1,85.255.112.61O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61O17 - HKLM\System\CS1\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61O17 - HKLM\System\CS2\Services\Tcpip\..\{181497EB-7CF0-4126-95A0-4C3D75B97EB0}: NameServer = 85.255.115.29,85.255.112.61O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.61

Повторите логи.

Edited July 26, 2008 by akoK

**AlexS** · July 29, 2008

Icesword удалил сам файл winnt64.dll , tdk65.sys я не нашел, за то после ребута Нод сообщил о файле fdk07.sys в той же папке. И удалил его. Файл winnt64.dll появился снова, снова я его удалил, сейчас запущу скрипт в AVZ.

**AlexS** · July 29, 2008

После перезагрузки файл снова появился, и Нод сообщил о других файлах ksb76.sys, luk54.sys все в той же папке drivers. Пофиксил всё в Hijackthis - интернет на зараженной машине вообще пропал...

Что делать?

**akoK** · July 29, 2008

Проблемы с сетью после лечения.

Правильно, Вы пофиксили измененные сервера.....интернет может пропасть.

1. Во время лечения вы отключали НОД?

2. Действия были Icesword => перезагрузка => скрипт? (антивирус в это время должен быть отключен)

3. Подготовка нового комплекта логов.....этот зловред с первого прогона не уходит.

Edited July 29, 2008 by akoK

**AlexS** · July 29, 2008

1. Нод не отключали.

2. Да, скрипт был после перезагрузки. Но антивирус не выключали.

3. Логи.

Скрипт под номером 3 в AVZ включал сегодня днем при включенном восстановлении системы (включил чтоб попробовать восстановить хотя бы интернет). Сейчас выключил восстановление, выключил Нод и доделал логи.

Судя по активности сетевого подключения и netstat - комп сейчас активно рассылает спам...

ЗЫ. Интернет отремонтировал утилиткой что Вы дали :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

**ТроПа** · July 29, 2008

У Вас какие-то остатки Авиры в системе.

При помощи Icesword удалите C:\WINDOWS\System32\Drivers\Fnv10.sys и C:\WINDOWS\system32\WinNt64.dll

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\System32\Drivers\Fnv10.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Fdk07.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ksb76.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Vfm20.sys');DeleteFile('WinNt64.dll');DeleteFile('C:\WINDOWS\system32\WinNt64.dll');BC_ImportAll;BC_DeleteSvc('Vfm20');BC_DeleteSvc('Ksb76');BC_DeleteSvc('Fdk07');BC_DeleteSvc('Fnv10');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Только не забывайте отключать все программы защиты при удалении врагов при помощи Icesword и при работе с АВЗ.

Повторите логи.

**AlexS** · July 30, 2008

готово

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

**akoK** · July 30, 2008

При помощи Icesword удалите C:\WINDOWS\system32\Drivers\Fnv42.sys

А в безопасном режиме

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll','');SetServiceStart('Wfn75', 4);SetServiceStart('Luc54', 4);QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');SetServiceStart('Fnv42', 4);QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');DeleteFile('C:\WINDOWS\system32\Drivers\Fnv42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Fnv42.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Luc54.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wfn75.sys');DeleteFile('WinNt64.dll'); DeleteService('Wfn75');DeleteService('Luc54');DeleteService('Fnv42');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing)

Сложный однако зловред.....повторите логи.

На каких сайта проводите время....между сеансами лечения?

**AlexS** · July 31, 2008

по работе в основном на туристических сайтах бываем

новые логи прилагаю

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

**akoK** · July 31, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Какие проблемы остались?

**akoK** · July 31, 2008

То что попало в карантин....безвредно.

winnt64.dll

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members