Добрый день!
Появилась проблема - на ПК одного сотрудника при загрузке появляется синий экран в промежутке между загрузкой логотипа Windows и окном авторизации минут на 15. (ПК отключила от сети и Инета.)
Symantec обнаруживает Hacktool.Rootkit и помещает в карантин/удаляет некий video.sys, только это не помагает. В msconfig в Автозагрузке появляется winhelp32.exe после каждой перезагрузки ПК.
Не могу удалить из реестра запуск winhelp32.bkp и vmmreg32.bkp. Помогите, пожалуйста!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине .Потом удалите их с помощью force deleteКод:c:\windows\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\SYSTEM32\VIDEO.bkp C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteService('VIDEO'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('VIDEO'); BC_Activate; RebootWindows(true); end.
- Выполните скрипт 2
После перезагрузки:Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Спасибо за скорую помощь! Комп стал грузиться как "выздоровевший". Карантин отослала. Логи прилагаю. Все ли с ним ОК?
-Пофиксите
Повторите логи по п. 2 и 3 Диагностики.Код:O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O4 - HKLM\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServices: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServicesOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKUS\S-1-5-19\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O20 - AppInit_DLLs: vmmreg32.dll
Выполнила, под учеткой пользователя, чтобы выйти в инет. Очень меня смущает процесс LckFldService.exe.
Это от приложения: Folder AccessСообщение от Tessy
-Пофиксите
Повторите логи по п. 2 и 3 Диагностики.Код:R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
Нужно выполнять все с правами админстратора.
Последний раз редактировалось Rene-gad; 23.09.2008 в 14:47. Причина: Добавлено
Спасибо, посветили. ПК не мой. Folder Access не пользовалась. А в остальном поведение адекватное. Можно возвращать пользователю?
Выполнила
Ключ реестраКлюч реестраКод:HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, Runзначение C:\WINDOWS\SYSTEM32\winhelp32.exe удалить.Код:HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Сервис Пак 3 поставить, возможно активация потребуется.
Выполнила. Спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
- c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
- c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.kty (DrWEB: archive: Trojan.NtRootKit.138
- c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.kty (DrWEB: archive: Trojan.NtRootKit.138
Уважаемый(ая) Tessy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
