посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
Printable View
посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-18 Startup: winhelp32.exe (User 'SYSTEM')
O4 - S-1-5-18 User Startup: winhelp32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: winhelp32.exe (User 'Default user')
O4 - .DEFAULT User Startup: winhelp32.exe (User 'Default user')
O4 - Startup: winhelp32.exe
O4 - User Startup: winhelp32.exe
O4 - Global Startup: winhelp32.exe
O4 - Global User Startup: winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('msupdate');
DeleteService('EventlogNetDDEdsdm');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\ansie.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\ansie.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('EventlogNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
p.s. запись в раздел реестра run запрещена :/
Выполните полную проверку всех дисков [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool [/URL] и повторите логи...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки пофиксите записи, указанные в сообщении 2, еще раз перегрузитесь и повторите логи
вобщем автозагрузка не чистится. хиджак не может исправить реестр. что посоветуете? авптол качаю...
[QUOTE=MasterAlexey;264016] авптол качаю...[/QUOTE]качайте и запускайте: у Вас какой-то файловый вирус, АВЗ против них бороться не может, да и не должен.
но касперский молчит - говорит - чисто все :/ авптол лучше?
[QUOTE=MasterAlexey;264021]но касперский молчит - говорит - чисто все :/ авптол лучше?[/QUOTE]да. Касперского на ПК на время проверки АВПтул отключите, а то подерутся.
продолжаем войну. авптол не может удалить вирус. почему интересно? пишет при перезхагрузке удалю, но не удаляет.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт V_Bond[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
имхо ничего не помогает :/// пипец вирь засел
Выносим больного на консилиум. Ждите...
[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]
Выполните скрипт
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
BC_QrFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Карантин закачайте по правилам
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
DeleteFileMask('C:\WINDOWS\SYSTEM32\webmin', '*.*', true);
DeleteDirectory('C:\WINDOWS\SYSTEM32\webmin');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин и скопированный Вами файл.
Сделайте новые логи.
еще нет прав на редактирование реестра. меняю в ручшую разрешения, но не помогает :// хотел поставить каспера 2009 но не смог, пишет ошибку. удалил каспера 7 , но тот не смог удалить свои записи из реестра после удаления.
[COLOR="Red"]moderated:::карантин загружаем по красной ссылке вверху страницы[/COLOR]
А где логи AVZ?
хиджак уже лучше. почистил реестр. пока [URL="http://virusinfo.info/attachment.php?attachmentid=65773&stc=1&d=1218022963"]virusinfo_syscheck.zip[/URL] шлю. полную проверку он делает долго. что на счет реестра? как открыть доступ?
Вроде справились, почистим реестр.
Не пробовали в regedit через Правка - Разрешения поменять себе права доступа к нужным веткам? Какие права на сами файлы реестра?
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Посмотрите, есть ли папка [B]webmin[/B] в C:\WINDOWS\SYSTEM32\
Если есть, то удалите эту папку.
Сделайте новые логи.
P.S. Вы файл video.sys в IceSword копировали?
права в реестре меняю в ручную, но это не помогает :/ файл видеосис скопировал. могу выложить куда нужно? авптол вирусы больше не находит. хиджак все прекрасно правит, ие не глючит, логи в аттаче.
[QUOTE=MasterAlexey;264316]файл видеосис скопировал. могу выложить куда нужно? .[/QUOTE]
Запаковали с паролем? Сюда: [url]http://virusinfo.info/upload_virus.php?tid=27571[/url]
Удалим остатки АВПТул
[CODE]begin
DeleteService('is-GRU7Ddrv');
DeleteService('is-AAS49drv');
DeleteService('is-5C4V3drv');
DeleteService('is-3JFTLdrv');
DeleteService('is-GRU7D');
DeleteService('is-AAS49');
DeleteService('is-5C4V3');
DeleteService('is-3JFTL');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3JFTL\is-3JFTL.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-5C4V3\is-5C4V3.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-AAS49\is-AAS49.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-GRU7D\is-GRU7D.exe');
DeleteFile('C:\WINDOWS\system32\drivers\77601144.sys');
DeleteFile('C:\WINDOWS\system32\drivers\21033895.sys');
DeleteFile('C:\WINDOWS\system32\drivers\05698956.sys');
DeleteFile('C:\WINDOWS\system32\drivers\75768107.sys');
RebootWindows(true);
end.[/CODE]
Вроде чисто в логах.
Сервис Пак 3 поставьте.