Изменился цвет рабочего стола. На нем висит картинка с надписью Warning! spyware detected on your computer!
Отключился антивирус (Norton 360). После запуска ничего не находит
Изменился цвет рабочего стола. На нем висит картинка с надписью Warning! spyware detected on your computer!
Отключился антивирус (Norton 360). После запуска ничего не находит
Последний раз редактировалось karpov67; 19.08.2008 в 19:12.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\Windows\System32\winhelp32.exe',''); QuarantineFile('C:\Windows\System32\vmmreg32.dll',''); DeleteFile('C:\Windows\System32\vmmreg32.dll'); DeleteFile('C:\Windows\System32\winhelp32.exe'); DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys'); DeleteFile('C:\Windows\System32\vmmreg32.bkp'); DeleteFile('C:\Windows\System32\winhelp32.bkp'); DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp'); BC_ImportDeletedList; DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=28396).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Карантин отправил. Новые логи ниже
Последний раз редактировалось karpov67; 19.08.2008 в 16:03.
virusinfo_syscheck.zip не грузится. Пишет "Превышен предел на форуме (19.5 Кбайт)". Как его загрузить?
Добавлено через 10 минут
На всякий случай: ссылка на логи в файлообменнике (оба файла в одном архиве)
http://rapidshare.com/files/138433688/logi.rar.html
Последний раз редактировалось karpov67; 19.08.2008 в 13:01. Причина: Добавлено
1. Повторяю:Отключите восстановление системы!
2. С помощью IceSword, как описано здесь: http://virusinfo.info/showthread.php?t=17228, удалите следующие файлы:
C:\Windows\System32\vmmreg32.dll
C:\Windows\System32\winhelp32.exe
C:\Windows\SYSTEM32\VIDEO.sys
C:\Windows\System32\vmmreg32.bkp
C:\Windows\System32\winhelp32.bkp
C:\Windows\SYSTEM32\VIDEO.bkp
3. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\System32\vmmreg32.dll'); DeleteFile('C:\Windows\System32\winhelp32.exe'); DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys'); DeleteFile('C:\Windows\System32\vmmreg32.bkp'); DeleteFile('C:\Windows\System32\winhelp32.bkp'); DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp'); DeleteFile('C:\Windows\system32\blphca8nj0en9o.scr'); BC_ImportDeletedList; DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
4. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Мне кажется, что восстановление системы отключено (снимок экрана в прикрепленном файле). Остальные рекомендации выполняю. Спасибо
Последний раз редактировалось karpov67; 19.08.2008 в 19:12.
IceSword не запускается. Пишет: "Initialize failed[1]!".
Что делать?
попробуйте в safe mode
у вас виста ... IceSword запускаете правой кнопкой от имени администратора ?
да
скачать ...
tools - wipe/copy file - browse и находим файлы
- direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...
В дополнение к V_Bond если не сработает:
Скачать: http://freenet-homepage.de/rene-gad/123.zip
Распаковать не в темп-папку.
Файл 123.pif - переименованный Avenger - запустить.
Подтвердить все, откроется окно.
Скопировать туда скрипт
Запустить.Код:files to delete: C:\Windows\System32\vmmreg32.dll C:\Windows\System32\winhelp32.exe C:\Windows\SYSTEM32\VIDEO.sys C:\Windows\System32\vmmreg32.bkp C:\Windows\System32\winhelp32.bkp C:\Windows\SYSTEM32\VIDEO.bkp
ПК уйдет в ребут.
После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
Спасибо, сработало. Все сделал. Ссылка на новые логи:
http://rapidshare.com/files/138455993/logi-2.rar.html
(почему то опять пишет о превышении размера)
Добавлено через 48 секунд
Спасибо, вроде бы сработал предыдущий совет.
Последний раз редактировалось karpov67; 19.08.2008 в 15:03. Причина: Добавлено
логи лучше прикрепить или выложить на нормальный файлообменник ...
Один загрузился... А второй пока никак.
Какой файлообменник будет удобнее?
Последний раз редактировалось karpov67; 19.08.2008 в 19:12.
Так. Вот и второй
Последний раз редактировалось karpov67; 19.08.2008 в 16:22.
похоже чисто .... (два оставшихся лога выложите на slil.ru)
Уважаемый(ая) karpov67, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.