winhelp32.exe vmmreg32.dll WinCtrl32.dll не удаляются.
Printable View
winhelp32.exe vmmreg32.dll WinCtrl32.dll не удаляются.
Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL]
Запустите, слева внизу нажмите File, затем найдите:
[quote]C:\WINDOWS\System32\Drivers\Winrh71.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winrh71');
DeleteService('RDSessMgrMSIServer');
DeleteService('NetmanMessenger');
DeleteService('ERSvcSamSs');
DeleteService('COMSysAppUMWdf');
DeleteService('CiSvcHidServ');
QuarantineFile('srv.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrh71.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrh71.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('srv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winrh71');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=28797[/URL]
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[quote]O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/quote]4. Повторите логи.
1. Выполнено файл Winrh71.sys больше в IceSword не появлялся.
2. Скрипт выполнен - результата нет. Карантин закачан.
3. Пофиксить не удаеться.
4. повторяю логи
в IceSword удалить
[code]
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\system32\imlog.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
[/code]
авз - Мастер поиска и устранения проблем- Некорректный элемент автозапуска - устранить
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\system32\imlog.sys','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\TEMP\SdsCrypt.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp','');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
По моему все стало в порядке. Попутно пришлось востановить и обновить АВЗ.
логи высылаю
интересно куда ?
Раза три пытался, но так и не смог прикрепить.
Сейчас еще раз попробую.
Ух ты
получилось
не вижу карантина ...
файл C:\WINDOWS\TEMP\Sddrv.tmp я знаю что такое.
Других файлов в карантине не обнаружил.
Сейчас компутер недоступен.
Так что извиняйте.
И всем спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\webmin\\video.bkp - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ays[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]