Здравствуйте!
Winhelp32.exe висит в автозагрузке и
оттуда не удаляется, остальная автозагрузка
пропала. Симантек ничего не видит.
:huh:
Printable View
Здравствуйте!
Winhelp32.exe висит в автозагрузке и
оттуда не удаляется, остальная автозагрузка
пропала. Симантек ничего не видит.
:huh:
virusinfo_cure.zip из темы уберите.
прикрутите к теме virusinfo_[B]sys[/B]cure.zip
[quote=light59;327092]virusinfo_cure.zip из темы уберите.
прикрутите к теме virusinfo_[B]sys[/B]cure.zip[/quote]
virusinfo_[B]sys[/B]cure.zip в теме есть, а virusinfo_cure.zip не могу
удалить - пишет прав нет...
Оу, извините, ошибся :) сейчас гляну, что там
В "Мой кабинет" зайдите, "Вложения" и смотрите там.
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\system32\syncmc.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36395"]http://virusinfo.info/upload_virus.php?tid=36395[/URL]
Повторите логи по правилам.
HijackThis какую-то ошибку выдавал...
Еще периодически Интернет Эксплорер выдает ошибку, типа
преложение будет закрыто и т.д.:huh:
[URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html "]Скачайте IceSword[/URL]
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
[code]
C:\WINDOWS\SYSTEM32\[B]VIDEO.sys[/B]
C:\WINDOWS\System32\[B]vmmreg32.dll[/B]
c:\windows\system32\[B]winhelp32.exe[/B]
[/code]
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
И без перезагрузки выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=geo34;327137]Еще периодически Интернет Эксплорер выдает ошибку, типа
преложение будет закрыто и т.д.:huh:[/quote]
Установите [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL] на Windows (может потребоваться активация). Должно помчоь :)
Спасибо, теперь всё это сделать я смогу только в понедельник. Сервис пак 3 поставить врядли смогу... Хоть у меня права локального администратора, есть еще и общие политики. Есть еще вопрос: если параметры при выходе из сеанса копируются на сервер, может ли быть так, если я удаляю вирус, а он возвращается при загрузке?
[QUOTE=geo34;327211]Хоть у меня права локального администратора, есть еще и общие политики.[/QUOTE]
А что в таком случае делает ваш глобальный администратор?
[quote=pig;327298]А что в таком случае делает ваш глобальный администратор?[/quote]
Он у нас приходящий, а сейчас еще и болеет...
Отправляю..
[URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html "]Скачайте IceSword[/URL]
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
[code]
C:\WINDOWS\SYSTEM32\[B]VIDEO.sys[/B]
C:\WINDOWS\System32\[B]vmmreg32.dll[/B]
c:\windows\system32\[B]winhelp32.exe[/B]
[/code]
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
И без перезагрузки
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
StopService('VIDEO');
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторяем логи.
Отправил.
В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\WINDOWS\system32\syncmc.sys','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36395"]http://virusinfo.info/upload_virus.php?tid=36395[/URL]
Отправил
Выполните скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\syncmc.sys');
DeleteFile('c:\windows\system32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\System32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('syncmc');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.[/CODE]Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
syncmc.sys - [B]Trojan-Spy.Win32.Goldun.blq[/B]
Сделал...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]Повторите логи.
2Aleksandra:
Из лога:
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
Надо просто повторить логи.
Не понял, что нужно сделать?