Посмотрите пожалуйста логи
Printable View
Посмотрите пожалуйста логи
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\System32\vmmreg32.dll[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
TerminateProcessByName('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин выслал
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [systemz] C:\WINDOWS\System32\drivers\ctfmon.exe
O20 - AppInit_DLLs: vmmreg32.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\drivers\ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 и 3 диагностики...
логи
В логах чисто, но не надолго :(
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Срочно установить SP3,IE7 и остальные апдейты...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft common\\svchost.exe - [B]Worm.Win32.AutoRun.tca[/B] (DrWEB: Trojan.DownLoad.23597)[*] c:\\windows\\system32\\drivers\\ctfmon.exe - [B]Trojan.Win32.Agent.asdy[/B] (DrWEB: Trojan.DownLoad.23691)[*] c:\\windows\\system32\\video.sys - [B]Trojan-PSW.Win32.Agent.lgt[/B] (DrWEB: Trojan.Siggen.1351)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan.Win32.BHO.iiw[/B] (DrWEB: Trojan.MulDrop.28837)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-Dropper.Win32.Agent.aaua[/B] (DrWEB: Trojan.MulDrop.28838)[/LIST][/LIST]