-
Вложений: 3
Video.sys - Trojan
Добрый день.
Проблема в следующем.
На компьютере появился файл video.sys - его обнаружил Касперский, попытки удалить ни к чему не привели.
Еще при запуске internet explorer загрузилась какая-то утилита Antivirus Windows XP 2008 (её сразу же удалили с компьютера).
При отключении подключения к интернету какой-то процесс периодически автоматически запускает опять подключение к интернету.
В автозапуске появилась ссылка на файл winhelp32. Удаление файла не помогает - восстанавливается тут же.
Помогите, чем можете! Спасибо.
Во вложении файлы сканера.
-
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsfile;
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('C:\Internetbank.exe','');
QuarantineFile('C:\autorun.inf','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteService('VIDEO');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин по [url]http://virusinfo.info/upload_virus.php?tid=36203[/url]
После лечения придется менять пароли.
-
Вложений: 3
-
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
-
mswapi.dll - Trojan-Spy.Win32.Iespy.bse,
vmmreg32.dll - Trojan-Dropper.Win32.Agent.acgi,
winhelp32.exe_ - Trojan-Dropper.Win32.Agent.acga
- все свежее. Классификация от ЛК.
-
Вложений: 3
-
Профиксить:
O20 - Winlogon Notify: reset6 - AUHook.dll (file missing)
ТраффикИнспектор установлен и работает?
-
Траффик инспектор установлен но не работает. Могу удалить.
-
Меня просто вот это смутило:
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
Больше в логах проблем не увидел. а у Вас они есть?
-
Пока вроде бы нет :)
Спасибо. Всем.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.bse[/B] (DrWEB: Trojan.PWS.Iespy.7)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan-Dropper.Win32.Agent.acgi[/B] (DrWEB: Trojan.MulDrop.29402)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-Dropper.Win32.Agent.acga[/B] (DrWEB: Trojan.MulDrop.29404)[/LIST][/LIST]
Page generated in 0.00288 seconds with 10 queries