-
Вложений: 3
Winhelp32.exe и т.п.
Здравствуйте!
Увы, по правилам все сделать полностью не удалось. После инфицирования возникли файлы winhelp32.exe, vmmreg32.dll, video.sys в системном каталоге, которые удалить не удалось. После перезагрузки компьютер не загружается: через несколько секунд после загрузки рабочего стола комп сам собой перезагружается снова. Включается только в safe mode, поэтому пришлось все логи делать там. Надеюсь, что и с этим можно что-то посоветовать, тем более, что, как я понял, это уже далеко не первый случай подобного вируса, который тут разбирается.
P.S.
Из карантина что-либо прислать?
-
[URL="http://www.antirootkit.com/software/IceSword.htm"]скачайте[/URL] найдите и удалите следующие файлы (force delete)
[code]
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\winhelp32.exe
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
DeleteService('kprof');
QuarantineFile('C:\WINDOWS\System32\kprof','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\kprof');
DeleteFile('C:\WINDOWS\System32\poof');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
-
многовато!!! Думаю, за раз не справимся.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\kprof','');
DeleteService('kprof');
QuarantineFile('C:\WINDOWS\System32\poof','');
DeleteService('poof');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\drvmcdb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sscdbhk5.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ssrtln.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteService('VIDEO');
SetServiceStart('VIDEO', 4);
SetServiceStart('Beep', 4);
DeleteService('Beep');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\poof');
DeleteFile('C:\WINDOWS\System32\kprof');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать весь карантин по ссылке вверху темы.
Сделать новые логи с флешкой, которой пользуетесь.
Сменить пароли к онлайн-играм.
-
Вложений: 3
Спасибо!
Я скачал icesword, но в безопасном режиме он не запускался (ошибка такая: open device failed, error code 1073741762).
Выполнил скрипт, предложенный Павлом.
После перезагрузки комп начал загружаться и не выключаться в обычном режиме. Запустил icesword, удалил только winhelp32.exe, остальных не было в наличии.
Пропала вся автозагрузка, судя по всему: антивирус, файрвол, программа сканера при загрузке не загружаются. Установки мышки (touchpad) слетели и все в таком духе по мелочи.
Интернет подключился.
Ноут несколько раз вис неожиданно, видимо, занимался своими делами.
Все логи и карантин прикрепляю.
Я так понимаю, что с этим надо еще работать...
-
[b]Отключите восстановление системы![/b] См. Приложение 1 Правил.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
SysCleanAddFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
SysCleanAddFile('vmmreg32.dll');
ExecuteSysClean;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
PS Пора уже [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] на Windows устанавливать (может потребоваться активация).
-
Beep.sys - Backdoor.Win32.UltimateDefender.a,
browsers.exe_ - Trojan-Dropper.Win32.Agent.ygt,
VIDEO.sys - Trojan-PSW.Win32.Agent.lal,
vmmreg32.dll - Trojan.Win32.BHO.hhm
winhelp32.exe_ - Trojan.Win32.Agent.ajnh (свежий)
Trojan-PSW.Win32.Agent.lal - вот этот мог упереть пароли. Так что их лучше поменять.
-
Вложений: 1
Спасибо!
Сразу после выполнения скрипта слетели настройки тачпада, языковая панель. ПОсле перезагружки вроде видимых проблем не наблюдаю. Лог из п. 2 прилагаю.
-
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
-
Вложений: 3
Скрипт выполнен. Логи прилагаю.
-
-
Спасибо.
Остался вот какой вопрос (если это, конечно, имеет отноешние к последствиям сиутации).
Осталась проблема с тем, что пропало в ходе излечения. АНтивирус и файрвол при загрузке теперь не загружаются автоматически, хотя в настройках run on startup им ставлю. Настройки тачпада слетают при каждой перезагрузке (я отключаю tapping). Это какими-то глобальными вещами корректируется? Или только переустановкой всего этого в отдельности?
-
-
Page generated in 0.00490 seconds with 10 queries