CureIt в обычном режиме запускается, но потом падает по ошибке. В защищенном режиме находит вирусы в файлах
vmmreg32.dll
winhelp32.exe
VIDEO.sys
но не может их вылечить.
Фалы с диагностикой прикрепил. Жду советов :?
Printable View
CureIt в обычном режиме запускается, но потом падает по ошибке. В защищенном режиме находит вирусы в файлах
vmmreg32.dll
winhelp32.exe
VIDEO.sys
но не может их вылечить.
Фалы с диагностикой прикрепил. Жду советов :?
в защищённом надо было выбрать в cureit удаление- лечить их в вашем случае не надо ;)
выполните скрипт @ avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\0\VIDEO.sys','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\0\VIDEO.sys');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_DeleteSvc('VIDEO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
сканировать повторно в безопасном с cureit , выбрать удаление.
повторите логи.
Меняйте пароли, ставьте sp3 и остальные заплатки.
Спасибо! CureIt запускается в нормальном режиме и ничего не находит :094:
ЗЫ Нужно карантин прислать? Вроде бы все в порядке...
ЗЗЫ Посмотрел - карантин получился большой 2.9Мб (не архивированный) Там файл video.sys 3 раза записан, а остальные 2 по 5 раз... Точнее с расширением .dta все по одному разу, а остальное с .dat и причиной карантина "BootCleaner quarantine".
Нужно, пришлите что есть в карантине, но только, чтобы повторов не было и повторите логи...
Извиняюсь за задержку.
Это логи. В качестве пояснения
1) в директории Windows/System32 был директорий "0". Перед лечением компа я (на всякий случай) запихнул в него копии зараженных файлов. После того, как отработал ваш скрипт и комп был вылечен я подумал что это я сам создал этот директорий (я всегда создаю темп-директории с таким именем) и со спокойной душой переименовал его с -vir- :to_become_senile: А теперь оказалось, что в нем лежало 2 подозрительных файла с расширениями .с
2) Можно грохнуть весь мусор в директории Local Settings/TEMP ? А то у меня там уже полгига лежит...
3) Порекомендуйте чем можно почистить и оптимизировать реестр - подозреваю что там тоже много мусора накопилось за 3 года...
Упс... с карантином проблемы. Те файлы, с которыми мы боролись я запаковал в архив самим avz и отослал. А вот ещё один файл :
ALSNDMGR.Cww
имеет размер 258,605,056 и я обламался его закачать, хотя при последнем тестировании avz скинул его в карантин >:( В этой же директории есть такой же файл с расширением .c :
ALSNDMGR.C
Стоит опасаться этих файлов? Напомню, что раньше они были в Windows/system32/0 а потом я его переименовал в -vir-
по касперскому :
Trojan-Dropper.Win32.Agent.ahir
Spy.Win32.Agent.gxa
Trojan-PSW.Win32.Agent.lnf
Пароли менять надо исходя из последнего ;)
Подозрительный файл конечно загрузить по правилам.
временные файлы конечно почистить. рекомендую ccleaner, заодно и реестр подчистит от мусора.
Пофиксить в hijackthis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
[/code]
не перегружаясь выполнить скрипт @ avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ставить заплатки надо первым делом, ну и инструкции ждут:[url]http://virusinfo.info/showthread.php?t=30339[/url]
P.S. хранить вирусы в системной директории это вообще" убицца веником :)"
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\vmmreg32.dll - [B]Trojan-Dropper.Win32.Agent.ahir[/B] ( DrWEB: BackDoor.Zapinit.86, BitDefender: Backdoor.Generic.144602 )[*] c:\windows\system32\winhelp32.exe - [B]Trojan-Spy.Win32.Agent.gxa[/B] ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1265949 )[*] c:\windows\system32\0\video.sys - [B]Trojan-PSW.Win32.Agent.lnf[/B] ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1309282 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]