Проверьте пожалуйста логи

**tralala** · 25.12.2008, 10:40

Пролечил ПК,но лог хайджека смущает .Особенно записи про userinit и winhelp32.exe .

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 25.12.2008, 11:13

профиксить:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O20 - Winlogon Notify: alcopt - alcopt.dll (file missing)

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('alcopt.dll','');
 QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 DeleteService('VIDEO');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
 DeleteFile('alcopt.dll');
BC_ImportAll;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Далее все как обычно: карантин, новые логи.

**tralala** · 25.12.2008, 12:16

Файл сохранён как 081225_121602_virus_49534f52b5f3b.zip

**PavelA** · 25.12.2008, 12:20

В логах плохого не увидел, рез-ты анализа карантина позже.

Вот это профиксить:
O21 - SSODL: UpdateCheck - {BE3D3ADF-E856-4D84-A9C3-D11F00E41A5C} - (no file)

**tralala** · 25.12.2008, 12:31

Спасибо!
ЗЫ:На диске C постоянно создается папка Recycler .

Добавлено через 5 минут

После фикса папка больше не создавалась!

**pig** · 26.12.2008, 05:44

Сообщение от tralala

На диске C постоянно создается папка Recycler .

А файловая система на диске какая? Если NTFS, то и должна быть такая папка, это место для корзин все пользователей.

**CyberHelper** · 22.02.2009, 09:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\video.sys - Rootkit.Win32.Agent.chc (DrWEB: Trojan.NtRootKit.1405)

Проверьте пожалуйста логи (заявка № 36264)

Опции темы