Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

и у меня winhep32.exe + video.sys (заявка № 28903)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57

    Exclamation и у меня winhep32.exe + video.sys

    Вот вижу как и у многих подцепил winhep32.exe, vmmreg.dll, video.sys
    Избавиться никак, Dr.Web и Spyware Doctor v.6 не помогли. Скачал все проги как написано в правилах у Вас на форуме, AVZ запустить не смог (пишет: недостаточно квоты), переименовал в kal.com - не помогает. В безопасном режиме запустил и выполнил скрипты (virusinfo_syscure.zip и virusinfo_syscheck.zip). Файл hijackthis.log сформирован не в безопасном режиме. Вот высылаю и надеюсь на помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Spyware Doctor - деинсталируйте ...
    скачайте найдите и удалите следующие файлы - force delete
    Код:
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\system32\slave.sys
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    выполните скрипт ...
    Код:
    begin
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     DeleteService('slave');
     QuarantineFile('C:\WINDOWS\system32\slave.sys','');
     DeleteService('VIDEO');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\userinit.exe','');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\slave.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    скрипт прогнал, после перезагрузки выскочили окна о не возможности открыть файлы (которые удалили), в трее (гд часики) так же пусто!
    Карантин выслал.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    c:\windows\system32\userinit.exe - нужно заменить на чистый с другой чистой системы или дистрибутива ....
    затем новые логи ....

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    c:\windows\system32\userinit.exe - заменил с дистрибутива ....
    вот новые логи ....
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');    
    BC_Activate;
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.
    Повторите логи...

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    в трее (гд часики) так же пусто!
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - S-1-5-20 Startup: VIDEO.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 Startup: winhelp32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 User Startup: VIDEO.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 User Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 User Startup: winhelp32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-18 User Startup: VIDEO.bkp (User 'SYSTEM')
    O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM')
    O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
    O4 - .DEFAULT User Startup: VIDEO.bkp (User 'Default user')
    O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user')
    O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
    O4 - Startup: VIDEO.bkp
    O4 - Startup: vmmreg32.bkp
    O4 - Startup: winhelp32.bkp
    O4 - User Startup: VIDEO.bkp
    O4 - User Startup: vmmreg32.bkp
    O4 - User Startup: winhelp32.bkp
    O4 - Global Startup: VIDEO.bkp
    O4 - Global Startup: vmmreg32.bkp
    O4 - Global Startup: winhelp32.bkp
    O4 - Global User Startup: VIDEO.bkp
    O4 - Global User Startup: vmmreg32.bkp
    O4 - Global User Startup: winhelp32.bkp
    O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)
    O20 - AppInit_DLLs: vmmreg32.dll
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    пофиксил, скрипь прогнал, карантин выслал, логи тоже
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в icesword удалите C:\WINDOWS\system32\drivers\splitter.sys
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\splitter.sys','');
     DeleteService('SRQNNUUT');
     DeleteService('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    удалил, выполнил но в трее (где часики) так же пусто!
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    и что дальше?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в icesword удалите
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\system32\drivers\SRQNNUUT.sys
    выполните скрипт ..
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\splitter.sys','');
     BC_DeleteSvc('SRQNNUUT');
     BC_DeleteSvc('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    насчет "часиков" - у вас ничего нет в автозагрузке откуда что-то возьмется в трее ?
    повторите логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    вот один лог, АВЗ не могу запустить ни в к аком режиме и как толкьо не переименовывал. Пишет "недостаточно квоты". Что делать!
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от kalachinsk.info Посмотреть сообщение
    вот один лог, АВЗ не могу запустить ни в к аком режиме и как толкьо не переименовывал. Пишет "недостаточно квоты". Что делать!
    Скачайте полиморфную версию: http://rapidshare.com/files/116949749/pingpong.pif.html , базы обновлять не надо.
    На будущее: лог Хайджека выполняется последним. Без логов АВЗ его ни делать ни прикреплять не надо.

  17. #16
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    вот логи
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    executerepair(9);
    executerepair(1);
    end.
    После скрипта должен запуститься нормальный АВЗ, дальше работайте с ним.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.bak
    C:\WINDOWS\system32\WinCtrl32.dl_
    C:\WINDOWS\System32\drivers\Windi27.sys
    C:\WINDOWS\System32\drivers\Winmr40.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Windi27.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\cryptlnk.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winwc40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winrx38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winqw40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winns51.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr84.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr27.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winjo51.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winbh27.sys','');
     DeleteService('Winwc40');
     DeleteService('Winrx38');
     DeleteService('Winqw40');
     DeleteService('Winns51');
     DeleteService('Winmr84');
     DeleteService('Winmr27');
     DeleteService('Winjo51');
     DeleteService('Winbh27');
     DeleteService('Winmr40');
     DeleteService('Bonjour Service');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Windi27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr40.sys');
     DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
     DeleteFile('C:\WINDOWS\system32\cryptlnk.dll');
    DeleteFile('C:\WINDOWS\System32\drivers\Winbh27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winjo51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr84.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winns51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winqw40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrx38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winwc40.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Winwc40');
     BC_DeleteSvc('Winrx38');
     BC_DeleteSvc('Winqw40');
     BC_DeleteSvc('Winns51');
     BC_DeleteSvc('Winmr84');
     BC_DeleteSvc('Winmr27');
     BC_DeleteSvc('Winjo51');
     BC_DeleteSvc('Winbh27');
     BC_DeleteSvc('Winmr40');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    извените Вы писали "Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete"

    а я сразу их удалил с помощью force delete
    и в карантине пусто. ничего страшного? что дальше делать?
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от kalachinsk.info Посмотреть сообщение
    ничего страшного?
    Страшного ничего, просто хотелось бы на них посмотреть. Судьба предоставила Вам возможность реабилитироваться

    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\drivers\Windi27.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Windi27');
     QuarantineFile('C:\WINDOWS\System32\drivers\Windi27.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Windi27.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Windi27');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 29.08.2008 в 20:28. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    17
    Вес репутации
    57
    реабилитироваться не судьба: файла C:\WINDOWS\System32\drivers\Windi27.sys не нашлось. Скрипт прогнал, логи вот.
    Можно вопрос, Вы скажите когда будет конец, когда комп мой будет исцелен на 100% ????
    Вложения Вложения

  • Уважаемый(ая) kalachinsk.info, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 01.08.2010, 17:14
    2. VIDEO.sys
      От oleg85 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.02.2009, 14:25
    3. Video.sys - Trojan
      От jess в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:36
    4. winhep32.exe, vmmreg.dll, video.sys
      От TRUE в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 07:29
    5. winhep32.exe + video.sys и ещё куча троянов
      От Anton_Petrenko в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.08.2008, 23:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01632 seconds with 20 queries