-
Junior Member
- Вес репутации
- 52
Последствие вируса
При запуске любого приложения или программы вылезает окошко такого содержания
everest.exe-Неверный образ
Приложение или билиотека C:/Windows/system32/vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска.
В чем может быть проблема?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('syslink.dll','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
DeleteService('Winrw40');
DeleteService('Winrw37');
DeleteService('Winrw15');
DeleteService('Winqv40');
DeleteService('Winqu48');
DeleteService('Winpu73');
DeleteService('Winpu48');
DeleteService('Winpu16');
DeleteService('Winns37');
DeleteService('Winms37');
DeleteService('Winmr27');
DeleteService('Winkp27');
DeleteService('Winjp15');
DeleteService('Winhm40');
DeleteService('Winhm26');
DeleteService('Winhl72');
DeleteService('Wingl61');
DeleteService('Winfk37');
DeleteService('Winfk26');
DeleteService('Winej84');
DeleteService('Winej83');
DeleteService('Winej72');
DeleteService('Winej37');
DeleteService('Winej27');
DeleteService('Windi26');
DeleteService('Winch61');
DeleteService('Wincg48');
DeleteService('Winbg61');
DeleteService('Winbg51');
DeleteService('Winbg50');
DeleteService('Winaf73');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg50.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteService('WZCSVCPolicyAgentRpcLocator');
DeleteService('WZCSVCPolicyAgent');
DeleteService('WZCSVClanmanworkstationwinmgmt');
DeleteService('wuauservAudioSrv');
DeleteService('winmgmt AntiVirus');
DeleteService('SysmonLogstisvcWmdmPmSN');
DeleteService('SymantecSharedAccess');
DeleteService('stisvcWmdmPmSN');
DeleteService('SSDPSRVRasMan');
DeleteService('SPBBCSvcccEvtMgr');
DeleteService('ShellHWDetectionupnphost');
DeleteService('SavRoamwinmgmt');
DeleteService('RichVideoTapiSrv');
DeleteService('oseMSIServer');
DeleteService('oseEventlogStarWindService');
DeleteService('oseEventlog');
DeleteService('NtmsSvcWebClient');
DeleteService('NMIndexingServiceNetDDE');
DeleteService('NMIndexingServiceFastUserSwitchingCompatibility');
DeleteService('NetDDEDnscache');
DeleteService('msupdatexmlprov');
DeleteService('msupdateDnscache');
QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
DeleteService('msupdate');
DeleteService('LmHostsBrowserHTTPFilter');
DeleteService('lanmanworkstationwinmgmt');
DeleteService('HTTPFilterFastUserSwitchingCompatibility');
DeleteService('helpsvcose');
DeleteService('helpsvc AntiVirus');
DeleteService('EventSystemProtectedStorage');
DeleteService('dmadminNtLmSsp');
DeleteService('DhcpWMPNetworkSvc');
DeleteService('CryptSvcwuauserv');
DeleteService('ClipSrvAppMgmt');
DeleteService('BrowserHTTPFilter');
DeleteService('BrowserCryptSvcwuauserv');
DeleteService('BlueSoleilShellHWDetection');
DeleteService('aspnet_stateAppMgmt');
DeleteService('ALGMSDTC');
DeleteService('Alerterwinmgmt');
DeleteFile('C:\WINDOWS\system32\msinet.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw15.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
прислать карантин по Правилам.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил,НО проблема эта осталась.
Жду дальнейших действий.
-
Junior Member
- Вес репутации
- 52
Посмотрел, папке карантина подозрительных файлов нет...
Моя проблема в силе??? Логи вчера отправил.
-
Проблема в силе. Будем добивать.
Добавлено через 1 минуту
профиксить:
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O2 - BHO: tprlibP - {DE6532E2-FD43-4DFB-9108-14140DBAB88C} - (no file)
O4 - S-1-5-18 Startup: vmmreg32.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM')
O4 - .DEFAULT Startup: vmmreg32.bkp (User 'Default user')
O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user')
O20 - AppInit_DLLs: vmmreg32.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: syslink - syslink.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
Добавлено через 4 минуты
Выполнить:
Код:
begin
BC_DeleteSvc('WZCSVCPolicyAgentRpcLocator');
BC_DeleteSvc('WZCSVCPolicyAgent');
BC_DeleteSvc('WZCSVClanmanworkstationwinmgmt');
BC_DeleteSvc('wuauservAudioSrv');
BC_DeleteSvc('winmgmt AntiVirus');
BC_DeleteSvc('SysmonLogstisvcWmdmPmSN');
BC_DeleteSvc('SymantecSharedAccess');
BC_DeleteSvc('stisvcWmdmPmSN');
BC_DeleteSvc('SSDPSRVRasMan');
BC_DeleteSvc('SPBBCSvcccEvtMgr');
BC_DeleteSvc('ShellHWDetectionupnphost');
BC_DeleteSvc('SavRoamwinmgmt');
BC_DeleteSvc('RichVideoTapiSrv');
BC_DeleteSvc('oseMSIServer');
BC_DeleteSvc('oseEventlogStarWindService');
BC_DeleteSvc('oseEventlog');
BC_DeleteSvc('NtmsSvcWebClient');
BC_DeleteSvc('NMIndexingServiceNetDDE');
BC_DeleteSvc('NMIndexingServiceFastUserSwitchingCompatibility');
BC_DeleteSvc('NetDDEDnscache');
BC_DeleteSvc('msupdatexmlprov');
BC_DeleteSvc('msupdateDnscache');
BC_DeleteSvc('LmHostsBrowserHTTPFilter');
BC_DeleteSvc('lanmanworkstationwinmgmt');
BC_DeleteSvc('HTTPFilterFastUserSwitchingCompatibility');
BC_DeleteSvc('helpsvcose');
BC_DeleteSvc('helpsvc AntiVirus');
BC_DeleteSvc('EventSystemProtectedStorage');
BC_DeleteSvc('dmadminNtLmSsp');
BC_DeleteSvc('DhcpWMPNetworkSvc');
BC_DeleteSvc('CryptSvcwuauserv');
BC_DeleteSvc('ClipSrvAppMgmt');
BC_DeleteSvc('BrowserHTTPFilter');
BC_DeleteSvc('BrowserCryptSvcwuauserv');
BC_DeleteSvc('BlueSoleilShellHWDetection');
BC_DeleteSvc('aspnet_stateAppMgmt');
BC_DeleteSvc('ALGMSDTC');
BC_DeleteSvc('Alerterwinmgmt');
BC_Activate;
RebootWindows(true);
end.
станд скрипт №2 повторить и лог прислать.
Последний раз редактировалось PavelA; 18.03.2010 в 16:51.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Профиксил,скрипт выполнил. Окошко исчезло. Логи сделал.
Думаю,лечение закончено. Комп начинает жить заново. Все же посмотрите логи.Может еще что то не так. Дайте ответ,пожалуйста.
-
Нет. еще надо будет почистить. Много накопилось за раз не уберешь.
Добавлено через 3 минуты
Третья часть. Делать все то же.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winye48');
BC_DeleteSvc('Winxc04');
BC_DeleteSvc('Winwc37');
BC_DeleteSvc('Winua84');
BC_DeleteSvc('Winua26');
BC_DeleteSvc('Winty38');
BC_DeleteSvc('Winty26');
BC_DeleteSvc('Winty16');
BC_DeleteSvc('Winsx51');
BC_DeleteSvc('Winrw50');
BC_DeleteSvc('Winqu48');
BC_DeleteSvc('Winpu48');
DeleteFile('C:\WINDOWS\System32\drivers\Winpu48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
По окончанию логи крайне желательны.
Последний раз редактировалось PavelA; 18.03.2010 в 21:34.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Вам виднее. Значит жду дальнейших действий.
Кстати,СПАСИБО Большое за то,что помогли решить проблему с окошком.
Логи завтра с утра пришлю в тему.Скрипт выполню.
-
у Вас просто была многоразовая зараза, размножалась при каждой перезагрузке.
Только поэтому много чисток.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
-
Последняя итерация:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winye73');
BC_DeleteSvc('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Все сделал.Сделал новые логи.Посмотрите,пожалуйста.
А можно пару советов по безопасности компьютера и каким антивирусом лучше пользоваться(если не трудно в личное сообщение)
-
Наши "монстры" написали вот это:
http://virusinfo.info/showthread.php?t=30339
Это мое Вам напутствие!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Спасибо большое. А логи проверили??? Что там с ними?
-
Малваре и его следы были удалены. Живите спокойно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-