Изменился цвет рабочего стола. На нем висит картинка с надписью Warning! spyware detected on your computer!
Отключился антивирус (Norton 360). После запуска ничего не находит
Printable View
Изменился цвет рабочего стола. На нем висит картинка с надписью Warning! spyware detected on your computer!
Отключился антивирус (Norton 360). После запуска ничего не находит
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\Windows\System32\winhelp32.exe','');
QuarantineFile('C:\Windows\System32\vmmreg32.dll','');
DeleteFile('C:\Windows\System32\vmmreg32.dll');
DeleteFile('C:\Windows\System32\winhelp32.exe');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys');
DeleteFile('C:\Windows\System32\vmmreg32.bkp');
DeleteFile('C:\Windows\System32\winhelp32.bkp');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp');
BC_ImportDeletedList;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=28396[/url]).
Сделайте новые логи, начиная с п.10 правил.
Карантин отправил. Новые логи ниже
virusinfo_syscheck.zip не грузится. Пишет "Превышен предел на форуме (19.5 Кбайт)". Как его загрузить?
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
На всякий случай: ссылка на логи в файлообменнике (оба файла в одном архиве)
[url]http://rapidshare.com/files/138433688/logi.rar.html[/url]
1. Повторяю:[b]Отключите восстановление системы![/b]
2. С помощью IceSword, как описано здесь: [url]http://virusinfo.info/showthread.php?t=17228[/url], удалите следующие файлы:
C:\Windows\System32\vmmreg32.dll
C:\Windows\System32\winhelp32.exe
C:\Windows\SYSTEM32\VIDEO.sys
C:\Windows\System32\vmmreg32.bkp
C:\Windows\System32\winhelp32.bkp
C:\Windows\SYSTEM32\VIDEO.bkp
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\System32\vmmreg32.dll');
DeleteFile('C:\Windows\System32\winhelp32.exe');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys');
DeleteFile('C:\Windows\System32\vmmreg32.bkp');
DeleteFile('C:\Windows\System32\winhelp32.bkp');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\Windows\system32\blphca8nj0en9o.scr');
BC_ImportDeletedList;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
4. Сделайте новые логи, начиная с п.10 правил.
Мне кажется, что восстановление системы отключено (снимок экрана в прикрепленном файле). Остальные рекомендации выполняю. Спасибо
IceSword не запускается. Пишет: "Initialize failed[1]!".
Что делать?
попробуйте в safe mode
[QUOTE=V_Bond;270112]попробуйте в safe mode[/QUOTE]
Не запускается. Та же ошибка
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Переименованный в hockey.pif тоже не запускается
у вас виста ... IceSword запускаете правой кнопкой от имени администратора ?
да
[URL="http://www.x2b.ru/get/995"]скачать[/URL] ...
tools - wipe/copy file - browse и находим файлы
- direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...
В дополнение к V_Bond если не сработает:
Скачать: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
Распаковать не в темп-папку.
Файл 123.pif - переименованный Avenger - запустить.
Подтвердить все, откроется окно.
Скопировать туда скрипт
[CODE]files to delete:
C:\Windows\System32\vmmreg32.dll
C:\Windows\System32\winhelp32.exe
C:\Windows\SYSTEM32\VIDEO.sys
C:\Windows\System32\vmmreg32.bkp
C:\Windows\System32\winhelp32.bkp
C:\Windows\SYSTEM32\VIDEO.bkp[/CODE]
Запустить.
ПК уйдет в ребут.
После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
[QUOTE=V_Bond;270146][URL="http://www.x2b.ru/get/995"]скачать[/URL] ...
tools - wipe/copy file - browse и находим файлы
- direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...[/QUOTE]
Спасибо, сработало. Все сделал. Ссылка на новые логи:
[url]http://rapidshare.com/files/138455993/logi-2.rar.html[/url]
(почему то опять пишет о превышении размера)
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
[QUOTE=Rene-gad;270162]В дополнение к V_Bond если не сработает:
[/QUOTE]
Спасибо, вроде бы сработал предыдущий совет.
логи лучше прикрепить или выложить на нормальный файлообменник ...
Один загрузился... А второй пока никак.
Какой файлообменник будет удобнее?
Так. Вот и второй
похоже чисто .... (два оставшихся лога выложите на slil.ru)
[QUOTE=V_Bond;270250]похоже чисто .... (два оставшихся лога выложите на slil.ru)[/QUOTE]попробуйте выложить сюда: по сообщению администрации ощибка д.б. исправлена, заодно и проверим ;)
[QUOTE=V_Bond;270250]похоже чисто .... [/QUOTE]
1. Цвет экрана не изменился - все еще синий
2. При запуске появляется несколько окон, что-то там не запускается.
3. Антивирус при перезапуске не запускается.
[QUOTE=V_Bond;270250] (два оставшихся лога выложите на slil.ru)[/QUOTE]
Простите, какие логи надо выложить? Я не совсем понял.