Показано с 1 по 19 из 19.

Вирус :((( (заявка № 28474)

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31

    Thumbs up Вирус :(((

    Помогите!
    Поймала вирус на, казалось бы, знакомом сайте.
    Сразу слетел антивирусник nod32
    Он этот вирус обнаружил, при попытке произвести какие то действия, комп отрубился, появился темный экран, кажется, что-то было написано.
    При перезагрузке компа выяснилось, что исчезла картинка с рабочего стола.
    Nod32 слетел и больше не работал.
    Не получается произвести восстановление системы. Самая ранняя контрольная точка - 15 августа (когда это случилось), но и этой датой восстановление не сделать.
    Не работает Виндовс медиа плейер.
    Не устанавливается Доктор Вэб (другие антивирусы не пробовала).
    Не подключаются автоматически при включении компа программы, например, Пунто Свичер.
    Пропал индикатор ADSL модема (2 зеленые стрелочки), однако, инет работает.
    При проверке компа сканером Доктор Вэб нашлись несколько зараженных файлов, в папках с Нод32 и windows.
    Не хнаю, правильно ли поступила, но удалила Нод32 и зараженные файлы.
    На данный момент находится вирус
    Trojan.Rntm.10 по адресу:
    C:\WINDOWS\system32\drivers\winl36.SYS


    Прошу удалить мою предыдущую тему - не удалось отредактировать ее и прицепить файлы.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте найти в аналоге проводника перечисленные файлы и удалить правой кнопкой мыши - force delete
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\system32\winhelp32.exe
    C:\WINDOWS\System32\drivers\Winhk03.sys
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteService('Winyd14');
     DeleteService('Winsw60');
     DeleteService('Winqt14');
     DeleteService('Winlp36');
     DeleteService('Winim24');
     DeleteService('ethmsagb');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethmsagb.sys','');
     DeleteService('VIDEO');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     DeleteService('WmdmPmSNCiSvc');
     DeleteService('W32TimeSharedAccess');
     DeleteService('W32TimeERSvc');
     DeleteService('UPSmnmsrvc');
     DeleteService('ThemesMSDTC');
     DeleteService('RemoteAccessstisvc');
     DeleteService('RasAutoW32TimeERSvc');
     DeleteService('Nlahelpsvc');
     DeleteService('MSIServerRDSessMgr');
     DeleteService('MSDTCdmadmin');
     DeleteService('HTTPFilter HotKey Poller');
     DeleteService('DcomLaunchPlugPlay');
     DeleteService('BITSLmHosts');
     DeleteService('AppMgmtTlntSvr');
     DeleteService('ALGSENS');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winhk03.sys','');
     QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhk03.sys');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ethmsagb.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winim24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlp36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqt14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsw60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyd14.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\blphcvj9j0e9an.scr');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Documents and Settings\sanya\Local Settings\Temp\loader.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    Сорри, не поняла, что надо скачать и зачем!
    Как "выполнить скрипт"?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от SuperSanya Посмотреть сообщение
    Сорри, не поняла, что надо скачать и зачем!
    http://virusinfo.info/showthread.php?t=17228

    Цитата Сообщение от SuperSanya Посмотреть сообщение
    Как "выполнить скрипт"?
    http://virusinfo.info/showthread.php?t=7239

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    карантин отправила
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Пофиксите в HijackThis:
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
    O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O20 - AppInit_DLLs: vmmreg32.dll
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    2. С помощью Ice Sword сделайте Force Delete для файла:
    C:\WINDOWS\system32\Drivers\Winlp46.sys

    3. Сразу же после этого выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\Drivers\Winlp46.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
    BC_DeleteSvc('VIDEO');
    BC_DeleteSvc('Winlp46');
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(13);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    При перезагрузке пропала картинка с рабочего стола
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    Да, еще...
    Есть подозрение, что вирусом заражена карта памяти от фотоаппарата (была вставлена в комп в тот момент, когда словился вирус, сканер находил на неей заразные файлы)
    Что с ней делать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от SuperSanya Посмотреть сообщение
    Есть подозрение, что вирусом заражена карта памяти от фотоаппарата (была вставлена в комп в тот момент, когда словился вирус, сканер находил на неей заразные файлы)
    Что с ней делать?
    Отформатировать в фотоаппарате.

  11. #10
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    А если фото нужны?

    Добавлено через 30 минут

    Д/Вэб установился.
    Спасибо!
    Последний раз редактировалось SuperSanya; 21.08.2008 в 11:33. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от SuperSanya Посмотреть сообщение
    А если фото нужны?
    Фотки скачайте через Linux. Можно использовать Knoppix Live CD, если нет установленного: www.knoppix.com

  13. #12
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Фотки скачайте через Linux. Можно использовать Knoppix Live CD, если нет установленного: www.knoppix.com
    Линукса у меня нет.
    А что такое Knoppix?
    Извините за назойливость, но я полный чайник))

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    читаем ... www.knoppix.com

  15. #14
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31

    Снова((((

    К сожалению, опять выявилась д/вэбовским сканером куча троянов(((
    Видимых симптомов, казалось бы, никаких - разве что притормаживает комп чуть-чуть...
    Но на всякий случай, повторяю логи...
    Вложения Вложения
    Последний раз редактировалось SuperSanya; 22.08.2008 в 01:46. Причина: изм.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('WZCSVCRpcSs');
     DeleteFile('srv.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  17. #16
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    вот
    Вложения Вложения

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Логи чистые.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    19.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    49
    Вес репутации
    31
    Спасибо!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ethmsagb.sys - Rootkit.Win32.Agent.cik (DrWEB: Trojan.Spambot.3546)
      2. c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
      3. c:\\windows\\system32\\vmmreg32.dll - Trojan.Win32.Agent.zru (DrWEB: Trojan.Siggen.172)
      4. c:\\windows\\system32\\webmin\\video.bkp - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
      5. c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan.Win32.Agent.zru (DrWEB: Trojan.Siggen.172)
      6. c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
      7. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
      8. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      9. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)


  • Уважаемый(ая) SuperSanya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00095 seconds with 23 queries