посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O4 - S-1-5-18 Startup: winhelp32.exe (User 'SYSTEM') O4 - S-1-5-18 User Startup: winhelp32.exe (User 'SYSTEM') O4 - .DEFAULT Startup: winhelp32.exe (User 'Default user') O4 - .DEFAULT User Startup: winhelp32.exe (User 'Default user') O4 - Startup: winhelp32.exe O4 - User Startup: winhelp32.exe O4 - Global Startup: winhelp32.exe O4 - Global User Startup: winhelp32.exe O20 - AppInit_DLLs: vmmreg32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); DeleteService('msupdate'); DeleteService('EventlogNetDDEdsdm'); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\ansie.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\ansie.exe'); DeleteFile('c:\windows\system32\mssrv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('msupdate'); BC_DeleteSvc('EventlogNetDDEdsdm'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
p.s. запись в раздел реестра run запрещена :/
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Выполните полную проверку всех дисков AVPTool и повторите логи...
Выполните скрипт
После перезагрузки пофиксите записи, указанные в сообщении 2, еще раз перегрузитесь и повторите логиКод:begin executerepair(11); executerepair(17); RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 05.08.2008 в 19:38.
вобщем автозагрузка не чистится. хиджак не может исправить реестр. что посоветуете? авптол качаю...
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
но касперский молчит - говорит - чисто все :/ авптол лучше?
продолжаем войну. авптол не может удалить вирус. почему интересно? пишет при перезхагрузке удалю, но не удаляет.
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт V_Bond
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
имхо ничего не помогает :/// пипец вирь засел
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Выносим больного на консилиум. Ждите...
Добавлено через 56 минут
Выполните скрипт
Карантин закачайте по правиламКод:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); BC_QrFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 06.08.2008 в 14:41. Причина: Добавлено
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD'); DeleteFileMask('C:\WINDOWS\SYSTEM32\webmin', '*.*', true); DeleteDirectory('C:\WINDOWS\SYSTEM32\webmin'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('VIDEO'); BC_Activate; RebootWindows(true); end.
Пришлите карантин и скопированный Вами файл.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
еще нет прав на редактирование реестра. меняю в ручшую разрешения, но не помогает :// хотел поставить каспера 2009 но не смог, пишет ошибку. удалил каспера 7 , но тот не смог удалить свои записи из реестра после удаления.
moderated:::карантин загружаем по красной ссылке вверху страницы
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
А где логи AVZ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
хиджак уже лучше. почистил реестр. пока virusinfo_syscheck.zip шлю. полную проверку он делает долго. что на счет реестра? как открыть доступ?
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Вроде справились, почистим реестр.
Не пробовали в regedit через Правка - Разрешения поменять себе права доступа к нужным веткам? Какие права на сами файлы реестра?
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Посмотрите, есть ли папка webmin в C:\WINDOWS\SYSTEM32\
Если есть, то удалите эту папку.
Сделайте новые логи.
P.S. Вы файл video.sys в IceSword копировали?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
права в реестре меняю в ручную, но это не помогает :/ файл видеосис скопировал. могу выложить куда нужно? авптол вирусы больше не находит. хиджак все прекрасно правит, ие не глючит, логи в аттаче.
Последний раз редактировалось MasterAlexey; 29.08.2008 в 10:20.
Запаковали с паролем? Сюда: http://virusinfo.info/upload_virus.php?tid=27571
Удалим остатки АВПТул
Вроде чисто в логах.Код:begin DeleteService('is-GRU7Ddrv'); DeleteService('is-AAS49drv'); DeleteService('is-5C4V3drv'); DeleteService('is-3JFTLdrv'); DeleteService('is-GRU7D'); DeleteService('is-AAS49'); DeleteService('is-5C4V3'); DeleteService('is-3JFTL'); DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3JFTL\is-3JFTL.exe'); DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-5C4V3\is-5C4V3.exe'); DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-AAS49\is-AAS49.exe'); DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-GRU7D\is-GRU7D.exe'); DeleteFile('C:\WINDOWS\system32\drivers\77601144.sys'); DeleteFile('C:\WINDOWS\system32\drivers\21033895.sys'); DeleteFile('C:\WINDOWS\system32\drivers\05698956.sys'); DeleteFile('C:\WINDOWS\system32\drivers\75768107.sys'); RebootWindows(true); end.
Сервис Пак 3 поставьте.
Последний раз редактировалось Rene-gad; 06.08.2008 в 16:24. Причина: Добавлено
Уважаемый(ая) MasterAlexey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.