Заметил что AVZ ругается на winhelp32.exe и ещё какую-то дрянь. Если есть время - прошу помочь очистить систему. Логи прилагаю.
Заметил что AVZ ругается на winhelp32.exe и ещё какую-то дрянь. Если есть время - прошу помочь очистить систему. Логи прилагаю.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине .Код:c:\windows\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\SYSTEM32\VIDEO.bkp C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe C:\WINDOWS\System32\Drivers\Gdp45.sys C:\WINDOWS\system32\Drivers\Syd68.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteService('VIDEO'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Syd68.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gdp45.sys',''); DeleteService('Gdp45'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Syd68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gdp45.sys'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('VIDEO'); BC_DeleteSvc('Gdp45'); executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Всё сделал как написали. После перезагрузки - заставка синий экран. Дважды появился запрос на выбор программы для открытий файла winhelp32.bkp (точно расширение не помню, но сделал скриншот). Сделал логи. Карантин отправил. Только не знаю как правильно нужно было в IceSword работать с Кодом, который вы прислали. Просто по пути искал файлы и найденные складывал в отдельную папку с именем файла и расширением через "-".
-Пофиксите
Файлики пришлите, плиз, как тут написано: http://virusinfo.info/showthread.php?t=4567Код:O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - Startup: winhelp32.bkp O4 - User Startup: winhelp32.bkp O4 - Global Startup: winhelp32.bkp O4 - Global User Startup: winhelp32.bkp O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\vmmreg32.dll O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Логи по п.2 и 3 Диагностики повторите.
Выполните скрипт @ avz:
Сделайте повторные логи по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Downloads\Living_Dolphins_3D\Living Dolphins 3D\Crack\Living_Dolphins_3D_Screensaver.scr',''); QuarantineFile('C:\PROGRA~1\PHOTOF~1\Manager\CONTEX~1.DLL',''); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys',''); QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Google Online Services'); executerepair(6); executerepair(8); BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=30832
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
К сожалению должен уходить уже. Завтра обязательно сделаю диагностику. А те файлы, что IceSword-ом должен был "убить" после копировани - я их убил. Как с ними быть?
p.S. Те, что IceSword-ом скопировал с измененными расширениями - остались.
Доброе утро! Вроде всё сделал как написали. Пофиксил, выполнил скрипт, выслал карантин. Логи прилагаю.
Ничего плохого не видно.
Сервис Пак 3 нужно поставить, возможно потребуется активация системы.
Спасибо всем кто помог. Вроде всё нормуль!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- \\gdp45-sys - Rootkit.Win32.Agent.atp (DrWEB: BackDoor.Bulknet.217)
- \\syd68-sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)
- \\video-bkp - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
- \\video-sys - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
- \\vmmreg32 - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
- \\vmmreg32-bkp - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
- \\winhelp32 - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
- \\winhelp32-exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
Уважаемый(ая) numlock2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.