Заметил что AVZ ругается на winhelp32.exe и ещё какую-то дрянь. Если есть время - прошу помочь очистить систему. Логи прилагаю.
Printable View
Заметил что AVZ ругается на winhelp32.exe и ещё какую-то дрянь. Если есть время - прошу помочь очистить систему. Логи прилагаю.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\System32\Drivers\Gdp45.sys
C:\WINDOWS\system32\Drivers\Syd68.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине .
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1 [/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Syd68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gdp45.sys','');
DeleteService('Gdp45');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Syd68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gdp45.sys');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('Gdp45');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Всё сделал как написали. После перезагрузки - заставка синий экран. Дважды появился запрос на выбор программы для открытий файла winhelp32.bkp (точно расширение не помню, но сделал скриншот). Сделал логи. Карантин отправил. Только не знаю как правильно нужно было в IceSword работать с Кодом, который вы прислали. Просто по пути искал файлы и найденные складывал в отдельную папку с именем файла и расширением через "-".
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - Startup: winhelp32.bkp
O4 - User Startup: winhelp32.bkp
O4 - Global Startup: winhelp32.bkp
O4 - Global User Startup: winhelp32.bkp
O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\vmmreg32.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
[/CODE]
Файлики пришлите, плиз, как тут написано: [url]http://virusinfo.info/showthread.php?t=4567[/url]
Логи по п.2 и 3 Диагностики повторите.
Выполните скрипт @ avz:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Downloads\Living_Dolphins_3D\Living Dolphins 3D\Crack\Living_Dolphins_3D_Screensaver.scr','');
QuarantineFile('C:\PROGRA~1\PHOTOF~1\Manager\CONTEX~1.DLL','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Google Online Services');
executerepair(6);
executerepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
Сделайте повторные логи по правилам.
Закачайте карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=30832[/url]
К сожалению должен уходить уже. Завтра обязательно сделаю диагностику. А те файлы, что IceSword-ом должен был "убить" после копировани - я их убил. Как с ними быть?
p.S. Те, что IceSword-ом скопировал с измененными расширениями - остались.
[QUOTE=numlock2;288439] Те, что IceSword-ом скопировал с измененными расширениями - остались.[/QUOTE]Прочитайте вслух в моем предыдущем сообщении первую строчку под кодом 8)
Доброе утро! Вроде всё сделал как написали. Пофиксил, выполнил скрипт, выслал карантин. Логи прилагаю.
Ничего плохого не видно.
Сервис Пак 3 нужно поставить, возможно потребуется активация системы.
Спасибо всем кто помог. Вроде всё нормуль!:D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\gdp45-sys - [B]Rootkit.Win32.Agent.atp[/B] (DrWEB: BackDoor.Bulknet.217)[*] \\syd68-sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.207)[*] \\video-bkp - [B]Trojan-PSW.Win32.Agent.knd[/B] (DrWEB: Trojan.Siggen.172)[*] \\video-sys - [B]Trojan-PSW.Win32.Agent.knd[/B] (DrWEB: Trojan.Siggen.172)[*] \\vmmreg32 - [B]Trojan-PSW.Win32.Agent.kne[/B] (DrWEB: Trojan.Siggen.172)[*] \\vmmreg32-bkp - [B]Trojan-PSW.Win32.Agent.kne[/B] (DrWEB: Trojan.Siggen.172)[*] \\winhelp32 - [B]Trojan-PSW.Win32.Agent.knc[/B] (DrWEB: Trojan.MulDrop.20735)[*] \\winhelp32-exe - [B]Trojan-PSW.Win32.Agent.knc[/B] (DrWEB: Trojan.MulDrop.20735)[/LIST][/LIST]