После выполнения скрипта все без изменений.
Printable View
После выполнения скрипта все без изменений.
Я говорю о скрипте в 16-посте. Его выполняли?
Да-да. Именно он. Без изменений.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
[/CODE]
файлы удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Один нюанс. Системный диск D. В коде я так понимаю все под C. Код все равно актуален?
Да, скорее всего это все надо выполнять для "D".
Карантин прикрепил. Сделал и для С и для D. Логи прицепил. Изменений пока нет.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - Global Startup: nod32.lnk = ?
[/CODE]
Кто это Вам lnk в автозагрузку поставил? Сами небось? :wink_3: Накатайте НОД по новой. Лучше, если есть при удалении опция Устранение ошибок в установке.
Верно. сам пытался автозагрузку применить. видимо поэтому и получилось так криво То есть надо переустановить.
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
При деинсталляции возникает ошибка нет доступа к сетевой папке с адресом как раз в автозагрузку. удаления прекращяется. есть ли способ очистить компьютер от нода чтобы установить заново.
Есть скорее всего. Правильная деинсталляция на сайте НОД, если есть.
Сорри, не могу посмотреть.
[QUOTE=PEPPER;323802]есть ли способ очистить компьютер от нода чтобы установить заново.[/QUOTE][url]http://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=558[/url]
Проблему с автозагрузкой решил с помощью редактирования реестра. Проблему с неудалением нода (ошибка 1606 также) в приниципе переустнавиливать не пришлось после того как автозагрузка заработала. видимо вирус подкорректировал реестр.
Однако сейчас заметил что проблемы появились опять он же? Не могли бы вы проверить логи.
В AVZ скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('VIDEO', 4);
SetServiceStart('vmi386', 4);
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
TerminateProcessByName('d:\windows\system32\winhelp32.exe');
QuarantineFile('D:\WINDOWS\system32\msupdt.exe','');
QuarantineFile('D:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('D:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('D:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('D:\WINDOWS\System32\drivers\vmi386.sys','');
QuarantineFile('D:\WINDOWS\system32\c0067EC4.mat','');
QuarantineFile('D:\WINDOWS\system32\tdll.dll','');
QuarantineFile('D:\WINDOWS\System32\vmmreg32.dll','');
QuarantineFile('d:\windows\system32\winhelp32.exe','');
DeleteFile('d:\windows\system32\winhelp32.exe');
DeleteFile('D:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('D:\WINDOWS\system32\tdll.dll');
DeleteFile('D:\WINDOWS\system32\c0067EC4.mat');
DeleteFile('D:\WINDOWS\System32\drivers\vmi386.sys');
DeleteFile('D:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('D:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_DeleteFile('D:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('D:\WINDOWS\system32\msupdt.exe');
DeleteFile('sys32.dll');
DeleteFile('D:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите карантин по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=35867"]http://virusinfo.info/upload_virus.php?tid=35867[/URL]
Ну и логи повторно сделайте......
Опять тоже самое. Мде. Куда заходили последние разы? Что открывали вспомните?
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
Чтобы не быть нашим постоянный клиентом, то ознакомьтесь с этим [URL="http://virusinfo.info/showthread.php?t=30339"]http://virusinfo.info/showthread.php?t=30339[/URL]. На всякий пожарный) . Но в любом случае можете обращаться за помощью)
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Пофиксите ещё вот это
[code]
Platform: Windows XP SP2 (WinNT 5.01.2600)
[/code]
Пора уже [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL] на Windows устанавливать (может потребоваться активация).
Карантин выслал. новые логи прилагаются.
Пофиксите в hiJakthis
[code]
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: c0067EC4 - c0067EC4.mat (file missing)
O20 - Winlogon Notify: ctlsys - D:\WINDOWS\
O20 - Winlogon Notify: sys32 - D:\WINDOWS\
[/code]
В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('D:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('D:\WINDOWS\system32\c0067EC4.mat');
DeleteFile('D:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
выполните пункты 2 и 3 разедела "диагностика" правил
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
НОД32 не тащит.. не справился :(
Выполнено.
В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
QuarantineFile('D:\WINDOWS\system32\mmctl.sys','');
DeleteFile('D:\WINDOWS\system32\mmctl.sys');
DeleteService('mmctl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите карантин по правилам по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=35867"]http://virusinfo.info/upload_virus.php?tid=35867[/URL].
Повторите 2й стандартный скрипт и, думаю, больше ничего зловредоного не будет :)
Сделано.
Хорошо. А теперь почитайте эту темку [URL="http://virusinfo.info/showthread.php?t=30339"]http://virusinfo.info/showthread.php?t=30339[/URL].:rolleyes:
В логах чисто :smile:
Огромное спасибо всем за оперативную помощь.