Помогите избавиться от зверя
Помогите избавиться от зверя
Пункты 1-6 выполнил, пункт 7-нет, так как, не запускается панель "Свойства" Моего компьютера. Можно продолжать без пункта 7, или есть другой способ выполнить пункт 7 ?
Последний раз редактировалось Игорь; 03.09.2008 в 01:05.
Выполнил п.8-13. Высылаю файлы логов.
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
Вставьте дистрибутив в CD-ROM - драйв.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:c:\windows\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\SYSTEM32\VIDEO.bkp C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteService('VIDEO'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\basemuqw32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\Uoso58.sys',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\clbcat.dll',''); DeleteService('msupdate'); DeleteFile('C:\WINDOWS\system32\clbcat.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\Uoso58.sys'); DeleteFile('C:\WINDOWS\system32\basemuqw32.dll'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('VIDEO'); BC_DeleteSvc('msupdate'); BC_Activate; RebootWindows(true); end.
- Выполните скрипт 2
После перезагрузки:Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); RebootWindows(true); end.
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Переписывание подтвердитеКод:copy C:\i386\svchost.exe C:\WINDOWS\system32\svchost.exe
Если такого файла нет:
На приглашение введите строку:
где вместо X подставьте букву CD-ROM-драйва.Код:expand X:\i386\svchost.ex_ C:\WINDOWS\system32\svchost.exe
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
БОЛЬШОЕ спасибо за помощь!!!
Теперь по порядку.
1. Лечение провел по всем пунктам, за исключением:
а) не смог отключить систему восстановления
б) в консоле восстановления не смог написать код, так как, в английской раскладке вместо обратной черты пишет решётку, клаву менял не помогает .
в) Что такое кэш проводников?
2. После лечения:
а) Запускается панель управления
б) Загрузка процессора 0% (раньше 100%)
в) Автозапуск прошёл только у KIS6.0 и языковой панели
г) Проактивная защита KIS6.0 блокирует запуск диспетчера задач
д) Логи прикрепил, zip-virus закачал.
Жду дальнейших указаний
(зверьки ещё остались: keyloger какой-то)
Последний раз редактировалось Игорь; 03.09.2008 в 19:35. Причина: Добавлено
Это сделать необходимо: у Вас заражен системный файл. Его можно заменить только таком образом. Потыкайте клавиши, пока не найдете необходимый обратный слэш. Вы можете воспользоваться LiveCD - если есть под рукой - там все можно сделать через ГУИ.б) в консоле восстановления не смог написать код, так как, в английской раскладке вместо обратной черты пишет решётку, клаву менял не помогает
Вы на ссылку нажимали? Temporary Internet Files для ИЕ, в других браузерах называется Cache.в) Что такое кэш проводников?
Логи могу не смотреть - пока не замените svchost.exe - все до фени.(зверьки ещё остались: keyloger какой-то)
LiveCD - под рукой нет, будем искать. Не подскажете где?
А клава на другом компе выдаёт обратный слэш, как положено
Значит дело не в клаве?
http://www.bartpe.ru/
Конечно нет. Из какой страны у Вас дистрибутив? Драйвер клавы с него грузится.
Судя по Вашему описнаию у Вас почему-то немецкая раскладка. Попробуйте набрать обр. слэш: Правый Alt + какая-то из клавиш справа от 0 в верхнем ряду.
За ссылочку спасибо, а с клавой я разобрался, язык то один, Аглицкий, а страны то, ДВЕ!!! У меня стояла Великобритания, а нужно ставить США и тогда всё отлично работает!!!
Perfect! Скрипт + Меняйте файл + логи - в студию.
Снова смог зайти на сайт!!!
1) заменил userinit.exe из Акрониса
2) Высылаю логи и карантин
Последний раз редактировалось Игорь; 10.03.2010 в 23:49.
давайте посмотритм на что вы заменили ...
C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 2 правил ...
Высылаю то, что в карантине. Файл userinit.ехе в карантин не добавляется!!!
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не выключено системное восстановление.
Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.
- Выполните скрипт
Файл должен попасть в карантинКод:begin SetAVZGuardStatus(True); ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\userinit.exe'); BC_Activate; RebootWindows(true); end.
Файл userinit.ехе в карантин добавил и отправил
-Пофиксите
- Сделайте повторные логи начиная от п.10 правил.Код:O20 - AppInit_DLLs: vmmreg32.dll
Уважаемый(ая) Игорь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.