доброго дня
winhelp32.exe и все такое... Startup убит. AVZ распаковать не дает, ругается на quota (Error: Not enough quota is available to process this command.). Посему лог только от HijackThis
Благодарен за помощь заранее
Printable View
доброго дня
winhelp32.exe и все такое... Startup убит. AVZ распаковать не дает, ругается на quota (Error: Not enough quota is available to process this command.). Посему лог только от HijackThis
Благодарен за помощь заранее
Скачайте [url="http://www.filehoster.ru/files/bx3150"]вот эту сборку AVZ[/url]. Далее по правилам.
прилагаю файлы
Выполните скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\syncps.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\syncps.dll');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_ImportALL;
BC_DeleteSvc('VmbInfce');
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
карантин загрузил
логи в аттаче
лог virusinfo_[B]sys[/B]cure.zip прикрутите к сообщению
извиняюсь
После выполнения скрипта сделайте НОВЫЕ логи... Вы старые прицепили что ли?
я, конечно, идиот, раз поймал вирус...
но не до такой степени...
логи, естественно, после скрипта.
какие изменеия должен был вызвать скрипт? может, что не так пошло?
[url="http://virusinfo.info/showthread.php?t=17228"]Удалите с помощью IceSword[/url][code]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys[/code]Выполните скрипт[CODE]begin
DelAutorunByFileName('syncps.dll');
end.[/CODE]Повторите логи.
ок, сейчас сделаю...
удалил, они сразу появились опять.... убил процесс winhelp32, удалил опять...
снова появились...
есть смысл повторять логи?
Удалите IceSword'ом эти файлыбез перезагрузки
[code]
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
[/code]
и потом сразу повторите скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\syncps.dll');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_ImportALL;
BC_DeleteSvc('VmbInfce');
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Повторите логи.
удалил
повторил скрипт
повторил логи
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\elserial.sys','');
QuarantineFile('D:\Profiles\pag001\Local Settings\Application Data\Google\Update\GoogleUpdate.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VmbInfce');
DeleteService('VIDEO');
QuarantineFile('d:\software\avir\game.exe','');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\drivers\vmbinfce.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36300"]http://virusinfo.info/upload_virus.php?tid=36300[/URL]
Повторите логи по правилам.
Зловреда вродь добили, но ещё пару файликов в карантин засунул, проверить нужно :)
карантин отправил
логи в аттаче...
как же я вам благодарен....
Выполните скрипт[CODE]begin
DelWinlogonNotifyByFileName('syncps.dll');
end.[/CODE]Логи в порядке.
выполнил
спасибо вам огромное!!!!!
[B]elserial.sys[/B] - Trojan-Spy.Win32.Goldun.blq
Выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('elSerial');
DeleteService('elSerial');
DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys');
BC_ImportDeletedList;
BC_DeleteSvc('elSerial');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Повторите лог virusinfo_syscheck.zip
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
И установите SP3 на windows. (может потребоваться активация)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\elserial.sys - [B]Trojan-Spy.Win32.Goldun.blq[/B] (DrWEB: Trojan.PWS.GoldSpy.2585)[*] c:\\windows\\system32\\syncps.dll - [B]Trojan-Spy.Win32.Goldun.blj[/B] (DrWEB: Trojan.PWS.GoldSpy.2584)[*] c:\\windows\\system32\\video.sys - [B]Trojan-PSW.Win32.Agent.lkk[/B] (DrWEB: Trojan.NtRootKit.2525)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan-Dropper.Win32.Agent.acih[/B] (DrWEB: Trojan.MulDrop.29402)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-Dropper.Win32.Agent.achq[/B] (DrWEB: Trojan.MulDrop.29404)[/LIST][/LIST]