Здравствуйте!
Winhelp32.exe висит в автозагрузке и
оттуда не удаляется, остальная автозагрузка
пропала. Симантек ничего не видит.
Здравствуйте!
Winhelp32.exe висит в автозагрузке и
оттуда не удаляется, остальная автозагрузка
пропала. Симантек ничего не видит.
Последний раз редактировалось geo34; 27.12.2008 в 14:01.
virusinfo_cure.zip из темы уберите.
прикрутите к теме virusinfo_syscure.zip
Оу, извините, ошибся сейчас гляну, что там
В "Мой кабинет" зайдите, "Вложения" и смотрите там.
Добавлено через 25 минут
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O20 - AppInit_DLLs: vmmreg32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('VIDEO', 4); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\system32\syncmc.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\vmmreg32.dll'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_ImportALL; BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36395
Повторите логи по правилам.
Последний раз редактировалось light59; 27.12.2008 в 14:46. Причина: Добавлено
HijackThis какую-то ошибку выдавал...
Еще периодически Интернет Эксплорер выдает ошибку, типа
преложение будет закрыто и т.д.
Скачайте IceSword
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
-Нажмите по нему правой кнопкой мыши и выберите force delete.Код:C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\System32\vmmreg32.dll c:\windows\system32\winhelp32.exe
-На запрос потверждения ответьте "да".
И без перезагрузки выполните скрипт в AVZ
повторите логи по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('VIDEO', 4); DeleteService('VIDEO'); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\vmmreg32.dll'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_ImportALL; BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 2 минуты
Установите Service Pack 3 на Windows (может потребоваться активация). Должно помчоь
Последний раз редактировалось light59; 27.12.2008 в 19:28. Причина: Добавлено
Спасибо, теперь всё это сделать я смогу только в понедельник. Сервис пак 3 поставить врядли смогу... Хоть у меня права локального администратора, есть еще и общие политики. Есть еще вопрос: если параметры при выходе из сеанса копируются на сервер, может ли быть так, если я удаляю вирус, а он возвращается при загрузке?
Отправляю..
Скачайте IceSword
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
-Нажмите по нему правой кнопкой мыши и выберите force delete.Код:C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\System32\vmmreg32.dll c:\windows\system32\winhelp32.exe
-На запрос потверждения ответьте "да".
И без перезагрузки
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); StopService('VIDEO'); SetServiceStart('VIDEO', 4); DeleteService('VIDEO'); BC_ImportDeletedList; BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторяем логи.
Отправил.
В AVZ
Пришлите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=36395Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys',''); QuarantineFile('C:\WINDOWS\system32\syncmc.sys',''); BC_Importquarantinelist; BC_Activate; RebootWindows(true); end.
Отправил
Выполните скриптПовторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\system32\syncmc.sys'); DeleteFile('c:\windows\system32\webmin\winhelp32.bkp'); DeleteFile('C:\WINDOWS\System32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_ImportDeletedList; BC_DeleteSvc('VIDEO'); BC_DeleteSvc('syncmc'); BC_Activate; ExecuteSysClean; ExecuteWizard('TSW', 1, 1, true); ExecuteWizard('BT', 1, 1, true); RebootWindows(true); end.
Добавлено через 1 минуту
syncmc.sys - Trojan-Spy.Win32.Goldun.blq
Последний раз редактировалось Макcим; 29.12.2008 в 14:58. Причина: Добавлено
Сделал...
Выполните скрипт в AVZ:
Повторите логи.Код:begin SetAVZPMStatus(true); RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
2Aleksandra:
Из лога:
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
Надо просто повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не понял, что нужно сделать?
Уважаемый(ая) geo34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.