-
Junior Member
- Вес репутации
- 56
Очень мед-лен-но работает windows
CureIt при запуске пишет "Обнаружена ошибка. Приложение будет закрыто" В дополнительно написано ModName: kernel32.dll. Не запускается ни в обычном режиме, ни в безопасном
avz.exe в обычном режиме вываливает ошибку каждую секунду. Помогает тольеко завершение процесса. Проводил скрипты в безопасном режиме.
AVPtool пролечил несколько вирусов и троянов.
При попытке запуска sfc /scannow завершает работу windows мотивируя тем, что прекратил работу RPD
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнять в обычном режиме!
Скачать,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('mmctl');
QuarantineFile('C:\WINDOWS\system32\mmctl.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\mmctl.sys');
DeleteFile('ctlsys.dll');
DeleteFile('autorun.bat');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Гриша
Выполнять в обычном режиме!
Скачать,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
Выполнил. однако программа не стала перезагружать комп, а только сказала, что это лучше бы сделать
Перезагрузил.
Сообщение от
Гриша
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('mmctl');
QuarantineFile('C:\WINDOWS\system32\mmctl.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\mmctl.sys');
DeleteFile('ctlsys.dll');
DeleteFile('autorun.bat');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
AVZ так и не работает. говорит что-то про extract.avz не успеваю заметить, т.к. тут же перекрывается ошибкой Access Violation. При повторном запуске IceSword файлы
Код:
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
находятся на месте, как будто их не удаляли.
По вышеназванным причинам, скрипт выполнить не могу.
-
IMHO, надо грузиться с Live CD или цеплять диск к другой системе.
-
-
Junior Member
- Вес репутации
- 56
Сделал так: Загрузил в обычном режиме IceSword и сделал Force Delete двум зловредным файлам. Пререзагрузился в безопасный режим и выполнил скрипт. Перезагрузился в обычный режим. В IceSword файлов больше не нашёл. Avz запустился в нормальном режиме. Выполнил скрипт ещё раз. После перезагрузки выкладываю карантин. Скоро выложу повторные логи.
-
Сообщение от
Villainus
Загрузил в обычном режиме IceSword
А он в безопасном и не работает, насколько я помню.
-
-
Junior Member
- Вес репутации
- 56
Прилогаю логи повторного сканирования
-
Junior Member
- Вес репутации
- 56
Ну что? всё в порядке в логах?
-
"Пофиксите" в HijackThis
Код:
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: ctlsys - C:\WINDOWS\
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Установите Service Pack 3. Возможно потребуется активация.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 56
Комп забрали, SP3 поставить не успел. Стал работать намного быстрее, других проблем не замечено.
Добавлено через 8 минут
Сообщение от
light59
"Пофиксите" в HijackThis
Код:
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: ctlsys - C:\WINDOWS\
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Пофиксил
Последний раз редактировалось Villainus; 21.12.2008 в 15:11.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mmctl.sys - Trojan-Spy.Win32.Goldun.bgd (DrWEB: Trojan.Clb.24)
- c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.lii (DrWEB: Trojan.Firestarter)
- c:\\windows\\system32\\vmmreg32.dll - Trojan-Dropper.Win32.Agent.abph (DrWEB: Trojan.Firestarter)
-