Junior Member
Вес репутации
58
и у меня winhep32.exe + video.sys
Вот вижу как и у многих подцепил winhep32.exe, vmmreg.dll, video.sys
Избавиться никак, Dr.Web и Spyware Doctor v.6 не помогли. Скачал все проги как написано в правилах у Вас на форуме, AVZ запустить не смог (пишет: недостаточно квоты), переименовал в kal.com - не помогает. В безопасном режиме запустил и выполнил скрипты (virusinfo_syscure.zip и virusinfo_syscheck.zip). Файл hijackthis.log сформирован не в безопасном режиме. Вот высылаю и надеюсь на помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Spyware Doctor - деинсталируйте ...
скачайте найдите и удалите следующие файлы - force delete
Код:
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\system32\slave.sys
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
выполните скрипт ...
Код:
begin
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
DeleteService('slave');
QuarantineFile('C:\WINDOWS\system32\slave.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\slave.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
скрипт прогнал, после перезагрузки выскочили окна о не возможности открыть файлы (которые удалили), в трее (гд часики) так же пусто!
Карантин выслал.
c:\windows\system32\userinit.exe - нужно заменить на чистый с другой чистой системы или дистрибутива ....
затем новые логи ....
Junior Member
Вес репутации
58
c:\windows\system32\userinit.exe - заменил с дистрибутива ....
вот новые логи ....
Вложения
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
58
в трее (гд часики) так же пусто!
Вложения
пофиксите ...
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-20 Startup: VIDEO.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: VIDEO.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-18 User Startup: VIDEO.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
O4 - .DEFAULT User Startup: VIDEO.bkp (User 'Default user')
O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user')
O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
O4 - Startup: VIDEO.bkp
O4 - Startup: vmmreg32.bkp
O4 - Startup: winhelp32.bkp
O4 - User Startup: VIDEO.bkp
O4 - User Startup: vmmreg32.bkp
O4 - User Startup: winhelp32.bkp
O4 - Global Startup: VIDEO.bkp
O4 - Global Startup: vmmreg32.bkp
O4 - Global Startup: winhelp32.bkp
O4 - Global User Startup: VIDEO.bkp
O4 - Global User Startup: vmmreg32.bkp
O4 - Global User Startup: winhelp32.bkp
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)
O20 - AppInit_DLLs: vmmreg32.dll
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
пофиксил, скрипь прогнал, карантин выслал, логи тоже
Вложения
в icesword удалите C:\WINDOWS\system32\drivers\splitter.sys
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\splitter.sys','');
DeleteService('SRQNNUUT');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
58
удалил, выполнил но в трее (где часики) так же пусто!
Вложения
Junior Member
Вес репутации
58
в icesword удалите
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\system32\drivers\SRQNNUUT.sys
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\splitter.sys','');
BC_DeleteSvc('SRQNNUUT');
BC_DeleteSvc('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\drivers\SRQNNUUT.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
насчет "часиков" - у вас ничего нет в автозагрузке откуда что-то возьмется в трее ?
повторите логи ...
Junior Member
Вес репутации
58
вот один лог, АВЗ не могу запустить ни в к аком режиме и как толкьо не переименовывал. Пишет "недостаточно квоты". Что делать!
Вложения
Сообщение от
kalachinsk.info
вот один лог, АВЗ не могу запустить ни в к аком режиме и как толкьо не переименовывал. Пишет "недостаточно квоты". Что делать!
Скачайте полиморфную версию: http://rapidshare.com/files/116949749/pingpong.pif.html , базы обновлять не надо.
На будущее: лог Хайджека выполняется последним . Без логов АВЗ его ни делать ни прикреплять не надо.
Junior Member
Вес репутации
58
Вложения
- Выполните скрипт
Код:
begin
executerepair(9);
executerepair(1);
end.
После скрипта должен запуститься нормальный АВЗ, дальше работайте с ним.
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\System32\drivers\Windi27.sys
C:\WINDOWS\System32\drivers\Winmr40.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\Winmr40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Windi27.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\cryptlnk.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winwc40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winrx38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winqw40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winns51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winmr84.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winmr27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winjo51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winbh27.sys','');
DeleteService('Winwc40');
DeleteService('Winrx38');
DeleteService('Winqw40');
DeleteService('Winns51');
DeleteService('Winmr84');
DeleteService('Winmr27');
DeleteService('Winjo51');
DeleteService('Winbh27');
DeleteService('Winmr40');
DeleteService('Bonjour Service');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Windi27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmr40.sys');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFile('C:\WINDOWS\system32\cryptlnk.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winbh27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winjo51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmr27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmr84.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winns51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqw40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrx38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winwc40.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winwc40');
BC_DeleteSvc('Winrx38');
BC_DeleteSvc('Winqw40');
BC_DeleteSvc('Winns51');
BC_DeleteSvc('Winmr84');
BC_DeleteSvc('Winmr27');
BC_DeleteSvc('Winjo51');
BC_DeleteSvc('Winbh27');
BC_DeleteSvc('Winmr40');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
извените Вы писали "Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete "
а я сразу их удалил с помощью force delete
и в карантине пусто. ничего страшного? что дальше делать?
Вложения
Сообщение от
kalachinsk.info
ничего страшного?
Страшного ничего, просто хотелось бы на них посмотреть. Судьба предоставила Вам возможность реабилитироваться
IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\System32\drivers\Windi27.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Windi27');
QuarantineFile('C:\WINDOWS\System32\drivers\Windi27.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Windi27.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Windi27');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 29.08.2008 в 20:28 .
Причина: Добавлено
Junior Member
Вес репутации
58
реабилитироваться не судьба: файла C:\WINDOWS\System32\drivers\Windi27.sys не нашлось. Скрипт прогнал, логи вот.
Можно вопрос, Вы скажите когда будет конец, когда комп мой будет исцелен на 100% ????
Вложения