Касперский вирусов не находит.
В его логах ссылок на уничтоженный winhelp не нашел.
Однако, в автозагрузке только winhelp.
Реестр менять не получается, хотя у пользователя права админа.
Папки webmin, самого winhelp и сопутствующих найти не могу.
Printable View
Касперский вирусов не находит.
В его логах ссылок на уничтоженный winhelp не нашел.
Однако, в автозагрузке только winhelp.
Реестр менять не получается, хотя у пользователя права админа.
Папки webmin, самого winhelp и сопутствующих найти не могу.
[URL="http://www.majorgeeks.com/Icesword_d5199.html"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\Drivers\Ovt56.sys
[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
DeleteService('Ovt56');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ovt56.sys','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Ovt56.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Ovt56');
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
После нескольких перезагрузок удалось с помощью IceSword удалить указанные файлы.
После этого без перезагрузки выполнил скрипт.
Реестр стал редактируемый.
Однако, ярлыки расположенные в Главное меню\Программы\Автозагрузка
при загрузке компьютера так и не отработали.
Зато при старте запустился Касперский.
Высылаю логи.
Карантин АВЗ был пуст.
1) AVZ => Файл => Мастер поиска и устранения проблем.
Найдите и устраните проблему "Некорректный элемент автозапуска".
2) [url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3) Зайдите в regedit и посмотрите, что прописано в
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders[/code]
Там параметр Common startup, пропишите там путь к Вашей папке автозагрузки.
4) Перезагрузите компьютер.
5) Удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\
6) Сделайте новые логи.
Сапсибо SHER и [COLOR="Red"]VI-Team[/COLOR]
Автозагрузку восстановил.
Только в догонку к HKLM надо еще и HKCU править.
А новые логи на всякий случай?
Прошу прощения, но вчера связь плохая была.
Вот логи.
В Хиджаке пофиксил строчки касающиеся winhelp32.exe в разделе О4
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
[quote=Dionis;267843]В Хиджаке пофиксил строчки касающиеся winhelp32.exe в разделе О4[/quote]
Пофиксите еще раз.
Выполните скрипт для восстановления реестра
[CODE]begin
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.[/CODE]
Спасибо [B]kps[/B] :)
Потом повторите логи начиная от п.10 правил.
Выполнил.
И откуда могла эта дрянь взяться?
Касперский постоянно работает. Правда только в режиме "файловый антивирус". И базы раз в сутки обновляет.
[QUOTE=Dionis;269871]И откуда могла эта дрянь взяться?[/QUOTE]Из интернета, вестимо ;)
Чисто в логах.
Сервис Пак 3 поставьте и почитайте: [url]http://security-advisory.virusinfo.info/[/url]