При заходе на один известный сайт (snowboarding.ru) залетела куча виручов и процесс services.exe постоянно пытается внедриться, пока фаервол его блокирует. Также пересали запускаться при загрузке компа антивирь и фаервол. Ну и ещё много всякой бяки.
Printable View
При заходе на один известный сайт (snowboarding.ru) залетела куча виручов и процесс services.exe постоянно пытается внедриться, пока фаервол его блокирует. Также пересали запускаться при загрузке компа антивирь и фаервол. Ну и ещё много всякой бяки.
Выполните проверку AVPTool (ссылка в подписи), потом повторите логи.
проверку AVPTool выполнил, нашлась куча троянов, всё почистил.
Но файл services.exe всё ещё сидит в папке windows, и ни как не удаляется. Так же постоянно вылезает окно фаервола "процесс запрашивает сетевой доступ" к файлу vmmreg32.dll
кстати файл vmmreg32.dll ни каким образом не находится, но фаервол постоянно на него ругается.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE] C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
[B]- Включите AVZPM[/B]
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
из вашего списка не найдено:
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
остальные скопировал, но в карантин они не сохраняются.
после неудачных попыток их сохранить в карантин, файлы по вашему списку я удалил с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
далее, ваш скрипт не выполняется, выдаётся ошибка: [SIZE=2]
Ошибка скрипта: ';' expected, позиция [25:4]
что делать?
[/SIZE]
[QUOTE=Pavel207;272003]
далее, ваш скрипт не выполняется, выдаётся ошибка:
Ошибка скрипта: ';' expected, позиция [25:4]
[/QUOTE]
Ошибку исправил , сорри.
Повторите запуск скрипта.
карантин закачал, логи прикрепил.
после перезагрузки компа выдётся следующее сообщение windows: "не удалось открыть следующие файлы: winhelp32.bkp"
к тому же вот что выдаёт AVZ:
[COLOR=black][FONT='MS Serif']7. [/FONT][/COLOR][COLOR=black][FONT='MS Serif']Эвристиче[/FONT][/COLOR][COLOR=black][FONT='MS Serif']c[/FONT][/COLOR][COLOR=black][FONT='MS Serif']кая[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']проверка[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']системы[/FONT][/COLOR][COLOR=black][/COLOR]
[COLOR=black][FONT='MS Serif']Подозрение[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']на[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']скрытую[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']загрузку[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']библиотек[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Serif']через[/FONT][/COLOR][COLOR=black][FONT='MS Serif'] AppInit_DLLs: "C:\WINDOWS\SYSTEM32\vmmreg32.dll"[/FONT][/COLOR]
[COLOR=red][FONT='MS Serif']>>> C:\WINDOWS\services.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)[/FONT][/COLOR]
[COLOR=black][FONT='MS Serif']9. Мастер поиска и устранения проблем[/FONT][/COLOR]
[COLOR=red][FONT='MS Serif'] >> Некорректный элемент автозапуска[/FONT][/COLOR]
[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE] C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', 'REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [B]Скачайте [url]http://www.glarysoft.com/rr.html[/url] и почистите реестр.[/B]
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
[B]- Включите AVZPM[/B]
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
карантин прислал, логи прилагаю.
из тех файлов которые вы предложили поискать и скопировать IceSwordом ничего не найдено. Единственное вызывает сомнение файл сидящий здесь:C:\WINDOWS\SYSTEM32\webmin\ под названием winhelp32.bkp т.к. Create time его 2008-08-21 13:35:17 , а это примерно то время когда и начались проблемы.
И ещё, после загрузки windows фаервол и антивирус (и ещё парочка нужных прог) не запускаются автоматически, только ручками. Не подскажете как это исправить?
[QUOTE=Pavel207;272382]Единственное вызывает сомнение файл сидящий здесь:C:\WINDOWS\SYSTEM32\webmin\ под названием winhelp32.bkp[/QUOTE]Надо и его удалить.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\vmmreg32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(7);
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
всё сделал, проблем вроде бы больше не наблюдаю, но фаервол и антивирь всё равно не запускаются автоматически, а вот punto swicher стал запускаться сам.
И ещё, в "моём компьютере" появился значок веб-папки, хотя его там раньше не было.
автозагрузку можно поправить [URL="http://softsearch.ru/programs/47-054-startup-extractor-download.shtml"] этим ...[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan.Win32.Agent.zvp[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan.Win32.BHO.gcs[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\video.bkp - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\vmmreg32.bkp - [B]Trojan.Win32.BHO.gcs[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.koo[/B] (DrWEB: Trojan.PWS.Clever.8)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.koo[/B] (DrWEB: Trojan.PWS.Clever.8)[/LIST][/LIST]