Касперский вирусов не находит.
В его логах ссылок на уничтоженный winhelp не нашел.
Однако, в автозагрузке только winhelp.
Реестр менять не получается, хотя у пользователя права админа.
Папки webmin, самого winhelp и сопутствующих найти не могу.
Касперский вирусов не находит.
В его логах ссылок на уничтоженный winhelp не нашел.
Однако, в автозагрузке только winhelp.
Реестр менять не получается, хотя у пользователя права админа.
Папки webmin, самого winhelp и сопутствующих найти не могу.
Последний раз редактировалось Dionis; 26.08.2008 в 12:02.
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe C:\WINDOWS\SYSTEM32\winhelp32.exe C:\WINDOWS\system32\Drivers\Ovt56.sys
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); DeleteService('Ovt56'); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ovt56.sys',''); QuarantineFile('C:\WINDOWS\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Ovt56.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Ovt56'); BC_DeleteSvc('VIDEO'); BC_Activate; RebootWindows(true); end.
После нескольких перезагрузок удалось с помощью IceSword удалить указанные файлы.
После этого без перезагрузки выполнил скрипт.
Реестр стал редактируемый.
Однако, ярлыки расположенные в Главное меню\Программы\Автозагрузка
при загрузке компьютера так и не отработали.
Зато при старте запустился Касперский.
Высылаю логи.
Карантин АВЗ был пуст.
Последний раз редактировалось Dionis; 26.10.2009 в 08:34.
1) AVZ => Файл => Мастер поиска и устранения проблем.
Найдите и устраните проблему "Некорректный элемент автозапуска".
2) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3) Зайдите в regedit и посмотрите, что прописано в
Там параметр Common startup, пропишите там путь к Вашей папке автозагрузки.Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
4) Перезагрузите компьютер.
5) Удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\
6) Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сапсибо SHER и VI-Team
Автозагрузку восстановил.
Только в догонку к HKLM надо еще и HKCU править.
Последний раз редактировалось Rene-gad; 16.08.2008 в 10:57.
А новые логи на всякий случай?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Прошу прощения, но вчера связь плохая была.
Вот логи.
В Хиджаке пофиксил строчки касающиеся winhelp32.exe в разделе О4
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
Последний раз редактировалось Dionis; 26.10.2009 в 08:34.
Выполните скрипт для восстановления реестра
Спасибо kpsКод:begin RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); RebootWindows(true); end.
Потом повторите логи начиная от п.10 правил.
Выполнил.
И откуда могла эта дрянь взяться?
Касперский постоянно работает. Правда только в режиме "файловый антивирус". И базы раз в сутки обновляет.
Последний раз редактировалось Dionis; 26.10.2009 в 08:34.
Из интернета, вестимо
Чисто в логах.
Сервис Пак 3 поставьте и почитайте: http://security-advisory.virusinfo.info/
Уважаемый(ая) Dionis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.