посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
Printable View
посмотрите плиз логи.
загрузил. карантин вышлю сейчас. на всяк случай
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-18 Startup: winhelp32.exe (User 'SYSTEM')
O4 - S-1-5-18 User Startup: winhelp32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: winhelp32.exe (User 'Default user')
O4 - .DEFAULT User Startup: winhelp32.exe (User 'Default user')
O4 - Startup: winhelp32.exe
O4 - User Startup: winhelp32.exe
O4 - Global Startup: winhelp32.exe
O4 - Global User Startup: winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('msupdate');
DeleteService('EventlogNetDDEdsdm');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\ansie.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\ansie.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('EventlogNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
p.s. запись в раздел реестра run запрещена :/
Выполните полную проверку всех дисков [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool [/URL] и повторите логи...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки пофиксите записи, указанные в сообщении 2, еще раз перегрузитесь и повторите логи
вобщем автозагрузка не чистится. хиджак не может исправить реестр. что посоветуете? авптол качаю...
[QUOTE=MasterAlexey;264016] авптол качаю...[/QUOTE]качайте и запускайте: у Вас какой-то файловый вирус, АВЗ против них бороться не может, да и не должен.
но касперский молчит - говорит - чисто все :/ авптол лучше?
[QUOTE=MasterAlexey;264021]но касперский молчит - говорит - чисто все :/ авптол лучше?[/QUOTE]да. Касперского на ПК на время проверки АВПтул отключите, а то подерутся.
продолжаем войну. авптол не может удалить вирус. почему интересно? пишет при перезхагрузке удалю, но не удаляет.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт V_Bond[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
имхо ничего не помогает :/// пипец вирь засел
Выносим больного на консилиум. Ждите...
[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]
Выполните скрипт
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
BC_QrFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Карантин закачайте по правилам
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
DeleteFileMask('C:\WINDOWS\SYSTEM32\webmin', '*.*', true);
DeleteDirectory('C:\WINDOWS\SYSTEM32\webmin');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин и скопированный Вами файл.
Сделайте новые логи.
еще нет прав на редактирование реестра. меняю в ручшую разрешения, но не помогает :// хотел поставить каспера 2009 но не смог, пишет ошибку. удалил каспера 7 , но тот не смог удалить свои записи из реестра после удаления.
[COLOR="Red"]moderated:::карантин загружаем по красной ссылке вверху страницы[/COLOR]
А где логи AVZ?
хиджак уже лучше. почистил реестр. пока [URL="http://virusinfo.info/attachment.php?attachmentid=65773&stc=1&d=1218022963"]virusinfo_syscheck.zip[/URL] шлю. полную проверку он делает долго. что на счет реестра? как открыть доступ?
Вроде справились, почистим реестр.
Не пробовали в regedit через Правка - Разрешения поменять себе права доступа к нужным веткам? Какие права на сами файлы реестра?
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Посмотрите, есть ли папка [B]webmin[/B] в C:\WINDOWS\SYSTEM32\
Если есть, то удалите эту папку.
Сделайте новые логи.
P.S. Вы файл video.sys в IceSword копировали?
права в реестре меняю в ручную, но это не помогает :/ файл видеосис скопировал. могу выложить куда нужно? авптол вирусы больше не находит. хиджак все прекрасно правит, ие не глючит, логи в аттаче.
[QUOTE=MasterAlexey;264316]файл видеосис скопировал. могу выложить куда нужно? .[/QUOTE]
Запаковали с паролем? Сюда: [url]http://virusinfo.info/upload_virus.php?tid=27571[/url]
Удалим остатки АВПТул
[CODE]begin
DeleteService('is-GRU7Ddrv');
DeleteService('is-AAS49drv');
DeleteService('is-5C4V3drv');
DeleteService('is-3JFTLdrv');
DeleteService('is-GRU7D');
DeleteService('is-AAS49');
DeleteService('is-5C4V3');
DeleteService('is-3JFTL');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3JFTL\is-3JFTL.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-5C4V3\is-5C4V3.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-AAS49\is-AAS49.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-GRU7D\is-GRU7D.exe');
DeleteFile('C:\WINDOWS\system32\drivers\77601144.sys');
DeleteFile('C:\WINDOWS\system32\drivers\21033895.sys');
DeleteFile('C:\WINDOWS\system32\drivers\05698956.sys');
DeleteFile('C:\WINDOWS\system32\drivers\75768107.sys');
RebootWindows(true);
end.[/CODE]
Вроде чисто в логах.
Сервис Пак 3 поставьте.
вот такое пишет :/ что ж с реестром делать?
[QUOTE=MasterAlexey;264316]файл видеосис скопировал. могу выложить куда нужно? [/QUOTE]
Файл, который Вы скопировали в IceSword запакуйте в архив с паролем virus и пришлите, как присылали карантин (красная ссылка вверху "Прислать запрошенный карантин").
уже выслал ...
Скрипт
[CODE]begin
executerepair(6);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.[/CODE]
после перезагрузки реестр и права доступа должны восстановиться
запись в run восстановилась. а вот каспер все еще не может записать свои данные в раздел реестра. я смотрел права - систем там есть. должно быть ок?
Сделайте новый лог по пункту 10 правил. Может, что-то от AVPTool осталось и мешает...
А с LiveCD загрузиться и удалить пробовали? kavremoval tool пробовали прогнать?
Папку webmin попробуйте удалить через force delete в IceSword и посмотрите, не восстановится ли эта папка.
[quote=kps;264373]Папку webmin попробуйте удалить через force delete в IceSword и посмотрите, не восстановится ли эта папка.[/quote]
папка не удаляется, а может просто восстанавливается после перезагрузки. касперкий 7 встал нормально, после установки касп2009, удаления его, и установки касп 7. так же испытал прогу каспремовтол. хорошо сработала. вобщем с вирями и каспером проблем нет. ОГРОМНАЯ благодарность. проект просто сепер. так держать. п.с. что за папка вебмин?
[QUOTE=MasterAlexey;264386] п.с. что за папка вебмин?[/QUOTE]C:\WINDOWS\SYSTEM32\[B]webmin[/B]\VIDEO.bkp - зaмок зловреда 8)
Сервис Пак 3 поставьте, плиз.
ну и еще раз помогите удалить касперыча авптол, а то у меня не получается..:/
Удалите, плиз, хотя бы на время
[CODE]C:\Program Files\Auslogics[/CODE]
Мы тут человека неделю лечили - не могли понять, что с ним, а потом он эту прогу удалил - и все прошло.
Скрипт
[CODE]begin
SetAVZGuardStatus(True);
DeleteService('is-GRU7Ddrv');
DeleteService('is-AAS49drv');
DeleteService('is-5C4V3drv');
DeleteService('is-3VVGGdrv');
DeleteService('is-GRU7D');
DeleteService('is-AAS49');
DeleteService('is-5C4V3');
DeleteService('is-3VVGG');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3VVGG\FSSync.dll');
DeleteFile('c:\documents and settings\all users\рабочий стол\kaspersky lab tool\is-3vvgg\bl.ppl');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3VVGG\is-3VVGG.exe');
DeleteFile('c:\documents and settings\all users\рабочий стол\kaspersky lab tool\is-3vvgg\params.ppl');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-3VVGG\prremote.dll');
DeleteFile('C:\WINDOWS\system32\drivers\55140243.sys');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-5C4V3\is-5C4V3.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-AAS49\is-AAS49.exe');
DeleteFile('C:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\is-GRU7D\is-GRU7D.exe');
DeleteFile('C:\WINDOWS\system32\drivers\05698956.sys');
DeleteFile('C:\WINDOWS\system32\drivers\21033895.sys');
DeleteFile('C:\WINDOWS\system32\drivers\77601144.sys');
RebootWindows(true);
end.[/CODE]
У AVPTool есть возможность удаления себя из системы...
возможность есть. но когда (случайно) ставишь 5 раз подряд авптол, то удаление работает не корректно. п.с. проверил еще раз весь комп новым касп2009, нашел еще вирусы, удалил и сплю спокойно :) всем спасибо большое за помощь!
подскажите пожалуйста, как называется вирус, которым был заражен мой компьютер?
[QUOTE=MasterAlexey;266430]подскажите пожалуйста, как называется вирус, которым был заражен мой компьютер?[/QUOTE]
VIDEO.sys - Rootkit.Win32.Agent.cbs