Junior Member
Вес репутации
58
Вирус :(((
Помогите!
Поймала вирус на, казалось бы, знакомом сайте.
Сразу слетел антивирусник nod32
Он этот вирус обнаружил, при попытке произвести какие то действия, комп отрубился, появился темный экран, кажется, что-то было написано.
При перезагрузке компа выяснилось, что исчезла картинка с рабочего стола.
Nod32 слетел и больше не работал.
Не получается произвести восстановление системы. Самая ранняя контрольная точка - 15 августа (когда это случилось), но и этой датой восстановление не сделать.
Не работает Виндовс медиа плейер.
Не устанавливается Доктор Вэб (другие антивирусы не пробовала).
Не подключаются автоматически при включении компа программы, например, Пунто Свичер.
Пропал индикатор ADSL модема (2 зеленые стрелочки), однако, инет работает.
При проверке компа сканером Доктор Вэб нашлись несколько зараженных файлов, в папках с Нод32 и windows.
Не хнаю, правильно ли поступила, но удалила Нод32 и зараженные файлы.
На данный момент находится вирус
Trojan.Rntm.10 по адресу:
C:\WINDOWS\system32\drivers\winl36.SYS
Прошу удалить мою предыдущую тему - не удалось отредактировать ее и прицепить файлы.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте найти в аналоге проводника перечисленные файлы и удалить правой кнопкой мыши - force delete
Код:
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\System32\drivers\Winhk03.sys
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
DeleteService('Winyd14');
DeleteService('Winsw60');
DeleteService('Winqt14');
DeleteService('Winlp36');
DeleteService('Winim24');
DeleteService('ethmsagb');
QuarantineFile('C:\WINDOWS\system32\drivers\ethmsagb.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteService('WmdmPmSNCiSvc');
DeleteService('W32TimeSharedAccess');
DeleteService('W32TimeERSvc');
DeleteService('UPSmnmsrvc');
DeleteService('ThemesMSDTC');
DeleteService('RemoteAccessstisvc');
DeleteService('RasAutoW32TimeERSvc');
DeleteService('Nlahelpsvc');
DeleteService('MSIServerRDSessMgr');
DeleteService('MSDTCdmadmin');
DeleteService('HTTPFilter HotKey Poller');
DeleteService('DcomLaunchPlugPlay');
DeleteService('BITSLmHosts');
DeleteService('AppMgmtTlntSvr');
DeleteService('ALGSENS');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winhk03.sys','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Winhk03.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethmsagb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlp36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsw60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyd14.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\blphcvj9j0e9an.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\sanya\Local Settings\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
58
Сорри, не поняла, что надо скачать и зачем!
Как "выполнить скрипт"?
Сообщение от
SuperSanya
Сорри, не поняла, что надо скачать и зачем!
http://virusinfo.info/showthread.php?t=17228
Сообщение от
SuperSanya
Как "выполнить скрипт"?
http://virusinfo.info/showthread.php?t=7239
Junior Member
Вес репутации
58
Вложения
1. Пофиксите в HijackThis:
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
2. С помощью Ice Sword сделайте Force Delete для файла:
C:\WINDOWS\system32\Drivers\Winlp46.sys
3. Сразу же после этого выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Winlp46.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('Winlp46');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
4. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
При перезагрузке пропала картинка с рабочего стола
Вложения
Junior Member
Вес репутации
58
Да, еще...
Есть подозрение, что вирусом заражена карта памяти от фотоаппарата (была вставлена в комп в тот момент, когда словился вирус, сканер находил на неей заразные файлы)
Что с ней делать?
Сообщение от
SuperSanya
Есть подозрение, что вирусом заражена карта памяти от фотоаппарата (была вставлена в комп в тот момент, когда словился вирус, сканер находил на неей заразные файлы)
Что с ней делать?
Отформатировать в фотоаппарате.
Junior Member
Вес репутации
58
А если фото нужны?
Добавлено через 30 минут
Д/Вэб установился.
Спасибо!
Последний раз редактировалось SuperSanya; 21.08.2008 в 11:33 .
Причина: Добавлено
Сообщение от
SuperSanya
А если фото нужны?
Фотки скачайте через Linux. Можно использовать Knoppix Live CD, если нет установленного: www.knoppix.com
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
Фотки скачайте через Linux. Можно использовать Knoppix Live CD, если нет установленного:
www.knoppix.com
Линукса у меня нет.
А что такое Knoppix?
Извините за назойливость, но я полный чайник))
Junior Member
Вес репутации
58
Снова((((
К сожалению, опять выявилась д/вэбовским сканером куча троянов(((
Видимых симптомов, казалось бы, никаких - разве что притормаживает комп чуть-чуть...
Но на всякий случай, повторяю логи...
Вложения
Последний раз редактировалось SuperSanya; 22.08.2008 в 01:46 .
Причина: изм.
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WZCSVCRpcSs');
DeleteFile('srv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
58
Вложения
I am not young enough to know everything...
Junior Member
Вес репутации
58
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\ethmsagb.sys - Rootkit.Win32.Agent.cik (DrWEB: Trojan.Spambot.3546) c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\vmmreg32.dll - Trojan.Win32.Agent.zru (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\webmin\\video.bkp - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan.Win32.Agent.zru (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735) c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573) c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)