-
Помогите скриптом ))
На компьютере установлен Antivirus XP 2008. Каким образом, неизвестно, от сотрудника не добьешься. CureIt вылетает сразу с ошибкой. В безопасный режим не войти. Редактирование реестра заблокировано. Старый NOD я удалил, а установка Касперского завершается ошибкой.
Логи сделать удалось.
Последний раз редактировалось Ярик; 12.12.2010 в 23:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте удалите в нем следующие файлы (правой кнопкой force delete)
Код:
C:\WINDOWS\System32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\msupdt.exe
C:\WINDOWS\system32\vmmreg32.dll
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('sys32.dll','');
QuarantineFile('ctlsys.dll','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\msupdt.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\msupdt.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('ctlsys.dll');
DeleteFile('sys32.dll');
BC_ImportDeletedList;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(10);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Карантин закачал MD56c31315e8864e5818ff2f4891d1376bc
У меня winzip не берет такие короткие пароли. Пароль virusvirus
Новые логи сделал.
Последний раз редактировалось Ярик; 12.12.2010 в 23:19.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
новые логи (базы AVZ не обновил, не было интернета с утра)
Последний раз редактировалось Ярик; 12.12.2010 в 23:19.
-
Сообщение от
Ярик
Карантин закачал MD56c31315e8864e5818ff2f4891d1376bc
У меня winzip не берет такие короткие пароли. Пароль virusvirus
.
Переделать, avz сам ставит нужный пароль если делать по правилам. А на нестандартный пароль ответ будет один:
"пароль не верный, перепакуйте и прешлите со станадартным паролем "
-
-
Карантин переделан и отправлен
-
пофиксите
Код:
O20 - Winlogon Notify: ctlsys - C:\WINDOWS\
O20 - Winlogon Notify: sys32 - C:\WINDOWS\
выполните скрипт
Код:
begin
DelWinlogonNotifyByFileName('vmmreg32.dll');
RebootWindows(true);
end.
hijackthis.log повторите .....
-
-
Последний раз редактировалось Ярик; 12.12.2010 в 23:19.
-
пуск выполнить regedit откройте
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
и в ключе AppInit_DLLs удалите vmmreg32.dll
-
-
vmmreg32.dll удалил. проблем больше нет.
Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dronova\\local settings\\temporary internet files\\content.ie5\\u9anunuj\\1[1].exe - Trojan.Win32.Agent.ayms (DrWEB: Trojan.Inject.5335)
- c:\\windows\\system32\\msupdt.exe - Trojan.Win32.Agent.ayms (DrWEB: Trojan.Inject.5335)
- c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.ljf (DrWEB: Trojan.Firestarter)
- c:\\windows\\system32\\vmmreg32.dll - Trojan-Spy.Win32.Agent.gae (DrWEB: Trojan.Firestarter)
- c:\\windows\\system32\\winhelp32.exe - Trojan-Spy.Win32.Agent.giu (DrWEB: Trojan.Firestarter)
-