Не удаляется вирус

Printable View

14.08.2008, 10:10
sklnina

Вложений: 3

Не удаляется вирус

Добрый день, не могу удалить вирус. Он удаляется, но после перезагрузки снова появляется.
14.08.2008, 10:24
Гриша

[URL="http://www.majorgeeks.com/Icesword_d5199.html"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe[/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\gcc.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('Glq05');
QuarantineFile('C:\WINDOWS\System32\Drivers\Glq05.sys','');
DeleteService('Afk83');
QuarantineFile('C:\WINDOWS\System32\Drivers\Afk83.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteService('FCI');
QuarantineFile('C:\WINDOWS\system32\fci.exe','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
QuarantineFile('C:\WINDOWS\System32\Drivers\dwshd.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\dwshd.sys');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\fci.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Afk83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Glq05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\gcc.exe');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
14.08.2008, 13:39
sklnina

Вложений: 2

пересылаю файлы второй раз
14.08.2008, 14:24
sklnina

подскажите пожалуйста, что нужно еще сделать?
14.08.2008, 14:48
Rene-gad

[QUOTE=sklnina;267515]подскажите пожалуйста, что нужно еще сделать?[/QUOTE]Не сердитесь, плиз. Этот вирус очень зловредный. Мы ищем способ борьбы против него.
Догрузите пожалуйста в любом случае 3 -й лог.
14.08.2008, 15:10
sklnina

я не сержусь. извините, что проятила несдержанность, ..просто не знаю что делать...
что за третий лог загрузить нужно?
14.08.2008, 15:14
Rene-gad

[QUOTE=sklnina;267531]
что за третий лог загрузить нужно?[/QUOTE]hijackthis.log

Зайдите в regedit и экспортируйте в файл ветку реестра
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer[/code]
Файл экспорта запакуйте в архив и прикрепите архив.

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
[/CODE]
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
14.08.2008, 16:27
sklnina

Вложений: 4

Обновленные логи
14.08.2008, 19:18
kps

В логах чисто.
Зайдите в regedit,
откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders
и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

Потом зайдите в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
измените значение параметра "Startup" на "%USERPROFILE%\Главное меню\Программы\Автозагрузка"
22.02.2009, 07:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.vd[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan-PSW.Win32.Agent.kkq[/B] (DrWEB: Trojan.Siggen.172)[*] c:\\windows\\system32\\webmin\\winhelp32.bkp - [B]Trojan-PSW.Win32.Agent.klo[/B] (DrWEB: Trojan.MulDrop.18333)[*] c:\\windows\\system32\\webmin\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.klo[/B] (DrWEB: Trojan.MulDrop.18333)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.klo[/B] (DrWEB: Trojan.MulDrop.18333)[/LIST][/LIST]