Последствие вируса
При запуске любого приложения или программы вылезает окошко такого содержания
everest.exe-Неверный образ
Приложение или билиотека C:/Windows/system32/vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска.
В чем может быть проблема?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
прислать карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('syslink.dll',''); QuarantineFile('C:\WINDOWS\system32\winhelp32.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); DeleteService('Winrw40'); DeleteService('Winrw37'); DeleteService('Winrw15'); DeleteService('Winqv40'); DeleteService('Winqu48'); DeleteService('Winpu73'); DeleteService('Winpu48'); DeleteService('Winpu16'); DeleteService('Winns37'); DeleteService('Winms37'); DeleteService('Winmr27'); DeleteService('Winkp27'); DeleteService('Winjp15'); DeleteService('Winhm40'); DeleteService('Winhm26'); DeleteService('Winhl72'); DeleteService('Wingl61'); DeleteService('Winfk37'); DeleteService('Winfk26'); DeleteService('Winej84'); DeleteService('Winej83'); DeleteService('Winej72'); DeleteService('Winej37'); DeleteService('Winej27'); DeleteService('Windi26'); DeleteService('Winch61'); DeleteService('Wincg48'); DeleteService('Winbg61'); DeleteService('Winbg51'); DeleteService('Winbg50'); DeleteService('Winaf73'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg50.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); DeleteService('WZCSVCPolicyAgentRpcLocator'); DeleteService('WZCSVCPolicyAgent'); DeleteService('WZCSVClanmanworkstationwinmgmt'); DeleteService('wuauservAudioSrv'); DeleteService('winmgmt AntiVirus'); DeleteService('SysmonLogstisvcWmdmPmSN'); DeleteService('SymantecSharedAccess'); DeleteService('stisvcWmdmPmSN'); DeleteService('SSDPSRVRasMan'); DeleteService('SPBBCSvcccEvtMgr'); DeleteService('ShellHWDetectionupnphost'); DeleteService('SavRoamwinmgmt'); DeleteService('RichVideoTapiSrv'); DeleteService('oseMSIServer'); DeleteService('oseEventlogStarWindService'); DeleteService('oseEventlog'); DeleteService('NtmsSvcWebClient'); DeleteService('NMIndexingServiceNetDDE'); DeleteService('NMIndexingServiceFastUserSwitchingCompatibility'); DeleteService('NetDDEDnscache'); DeleteService('msupdatexmlprov'); DeleteService('msupdateDnscache'); QuarantineFile('C:\WINDOWS\system32\msinet.exe',''); DeleteService('msupdate'); DeleteService('LmHostsBrowserHTTPFilter'); DeleteService('lanmanworkstationwinmgmt'); DeleteService('HTTPFilterFastUserSwitchingCompatibility'); DeleteService('helpsvcose'); DeleteService('helpsvc AntiVirus'); DeleteService('EventSystemProtectedStorage'); DeleteService('dmadminNtLmSsp'); DeleteService('DhcpWMPNetworkSvc'); DeleteService('CryptSvcwuauserv'); DeleteService('ClipSrvAppMgmt'); DeleteService('BrowserHTTPFilter'); DeleteService('BrowserCryptSvcwuauserv'); DeleteService('BlueSoleilShellHWDetection'); DeleteService('aspnet_stateAppMgmt'); DeleteService('ALGMSDTC'); DeleteService('Alerterwinmgmt'); DeleteFile('C:\WINDOWS\system32\msinet.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winaf73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincg48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhl72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjp15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winms37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw15.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\winhelp32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил,НО проблема эта осталась.
Жду дальнейших действий.
Посмотрел, папке карантина подозрительных файлов нет...
Моя проблема в силе??? Логи вчера отправил.
Проблема в силе. Будем добивать.
Добавлено через 1 минуту
профиксить:
Добавлено через 4 минутыКод:O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O2 - BHO: tprlibP - {DE6532E2-FD43-4DFB-9108-14140DBAB88C} - (no file) O4 - S-1-5-18 Startup: vmmreg32.bkp (User 'SYSTEM') O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM') O4 - .DEFAULT Startup: vmmreg32.bkp (User 'Default user') O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user') O20 - AppInit_DLLs: vmmreg32.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll O20 - Winlogon Notify: syslink - syslink.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
Выполнить:
станд скрипт №2 повторить и лог прислать.Код:begin BC_DeleteSvc('WZCSVCPolicyAgentRpcLocator'); BC_DeleteSvc('WZCSVCPolicyAgent'); BC_DeleteSvc('WZCSVClanmanworkstationwinmgmt'); BC_DeleteSvc('wuauservAudioSrv'); BC_DeleteSvc('winmgmt AntiVirus'); BC_DeleteSvc('SysmonLogstisvcWmdmPmSN'); BC_DeleteSvc('SymantecSharedAccess'); BC_DeleteSvc('stisvcWmdmPmSN'); BC_DeleteSvc('SSDPSRVRasMan'); BC_DeleteSvc('SPBBCSvcccEvtMgr'); BC_DeleteSvc('ShellHWDetectionupnphost'); BC_DeleteSvc('SavRoamwinmgmt'); BC_DeleteSvc('RichVideoTapiSrv'); BC_DeleteSvc('oseMSIServer'); BC_DeleteSvc('oseEventlogStarWindService'); BC_DeleteSvc('oseEventlog'); BC_DeleteSvc('NtmsSvcWebClient'); BC_DeleteSvc('NMIndexingServiceNetDDE'); BC_DeleteSvc('NMIndexingServiceFastUserSwitchingCompatibility'); BC_DeleteSvc('NetDDEDnscache'); BC_DeleteSvc('msupdatexmlprov'); BC_DeleteSvc('msupdateDnscache'); BC_DeleteSvc('LmHostsBrowserHTTPFilter'); BC_DeleteSvc('lanmanworkstationwinmgmt'); BC_DeleteSvc('HTTPFilterFastUserSwitchingCompatibility'); BC_DeleteSvc('helpsvcose'); BC_DeleteSvc('helpsvc AntiVirus'); BC_DeleteSvc('EventSystemProtectedStorage'); BC_DeleteSvc('dmadminNtLmSsp'); BC_DeleteSvc('DhcpWMPNetworkSvc'); BC_DeleteSvc('CryptSvcwuauserv'); BC_DeleteSvc('ClipSrvAppMgmt'); BC_DeleteSvc('BrowserHTTPFilter'); BC_DeleteSvc('BrowserCryptSvcwuauserv'); BC_DeleteSvc('BlueSoleilShellHWDetection'); BC_DeleteSvc('aspnet_stateAppMgmt'); BC_DeleteSvc('ALGMSDTC'); BC_DeleteSvc('Alerterwinmgmt'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 18.03.2010 в 16:51. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Профиксил,скрипт выполнил. Окошко исчезло. Логи сделал.
Думаю,лечение закончено. Комп начинает жить заново. Все же посмотрите логи.Может еще что то не так. Дайте ответ,пожалуйста.
Нет. еще надо будет почистить. Много накопилось за раз не уберешь.
Добавлено через 3 минуты
Третья часть. Делать все то же.
По окончанию логи крайне желательны.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winye48'); BC_DeleteSvc('Winxc04'); BC_DeleteSvc('Winwc37'); BC_DeleteSvc('Winua84'); BC_DeleteSvc('Winua26'); BC_DeleteSvc('Winty38'); BC_DeleteSvc('Winty26'); BC_DeleteSvc('Winty16'); BC_DeleteSvc('Winsx51'); BC_DeleteSvc('Winrw50'); BC_DeleteSvc('Winqu48'); BC_DeleteSvc('Winpu48'); DeleteFile('C:\WINDOWS\System32\drivers\Winpu48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqu48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxc04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 18.03.2010 в 21:34. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вам виднее. Значит жду дальнейших действий.
Кстати,СПАСИБО Большое за то,что помогли решить проблему с окошком.
Логи завтра с утра пришлю в тему.Скрипт выполню.
у Вас просто была многоразовая зараза, размножалась при каждой перезагрузке.
Только поэтому много чисток.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Код выполнил.Вот логи.
Последняя итерация:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winye73'); BC_DeleteSvc('VIDEO'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye73.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал.Сделал новые логи.Посмотрите,пожалуйста.
А можно пару советов по безопасности компьютера и каким антивирусом лучше пользоваться(если не трудно в личное сообщение)
Наши "монстры" написали вот это:
http://virusinfo.info/showthread.php?t=30339
Это мое Вам напутствие!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо большое. А логи проверили??? Что там с ними?
Малваре и его следы были удалены. Живите спокойно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Joe Klark, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
