Подозрение на вирус - отключилась функция автозагрузки

[PEPPER]

После выполнения скрипта все без изменений.

[Макcим]

Я говорю о скрипте в 16-посте. Его выполняли?

[PEPPER]

Да-да. Именно он. Без изменений.

[Rene-gad]

Скачайте IceSword , поищите и скопируйте файлы:

Код:

c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe

файлы удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteService('VIDEO');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[PEPPER]

Один нюанс. Системный диск D. В коде я так понимаю все под C. Код все равно актуален?

[PavelA]

Да, скорее всего это все надо выполнять для "D".

[PEPPER]

Карантин прикрепил. Сделал и для С и для D. Логи прицепил. Изменений пока нет.

[Rene-gad]

-Пофиксите

Код:

O4 - Global Startup: nod32.lnk = ?

Кто это Вам lnk в автозагрузку поставил? Сами небось? Накатайте НОД по новой. Лучше, если есть при удалении опция Устранение ошибок в установке.

[PEPPER]

Верно. сам пытался автозагрузку применить. видимо поэтому и получилось так криво То есть надо переустановить.

Добавлено через 34 минуты

При деинсталляции возникает ошибка нет доступа к сетевой папке с адресом как раз в автозагрузку. удаления прекращяется. есть ли способ очистить компьютер от нода чтобы установить заново.

[PavelA]

Есть скорее всего. Правильная деинсталляция на сайте НОД, если есть.
Сорри, не могу посмотреть.

[Макcим]

есть ли способ очистить компьютер от нода чтобы установить заново.

http://training.eset.com/kb/index.ph...&articleid=558

[PEPPER]

Проблему с автозагрузкой решил с помощью редактирования реестра. Проблему с неудалением нода (ошибка 1606 также) в приниципе переустнавиливать не пришлось после того как автозагрузка заработала. видимо вирус подкорректировал реестр.
Однако сейчас заметил что проблемы появились опять он же? Не могли бы вы проверить логи.

[light59]

В AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('VIDEO', 4);
 SetServiceStart('vmi386', 4);
 DeleteService('VIDEO');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 TerminateProcessByName('d:\windows\system32\winhelp32.exe');
 QuarantineFile('D:\WINDOWS\system32\msupdt.exe','');
 QuarantineFile('D:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('D:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('D:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('D:\WINDOWS\System32\drivers\vmi386.sys','');
 QuarantineFile('D:\WINDOWS\system32\c0067EC4.mat','');
 QuarantineFile('D:\WINDOWS\system32\tdll.dll','');
 QuarantineFile('D:\WINDOWS\System32\vmmreg32.dll','');
 QuarantineFile('d:\windows\system32\winhelp32.exe','');
 DeleteFile('d:\windows\system32\winhelp32.exe');
 DeleteFile('D:\WINDOWS\System32\vmmreg32.dll');
 DeleteFile('D:\WINDOWS\system32\tdll.dll');
 DeleteFile('D:\WINDOWS\system32\c0067EC4.mat');
 DeleteFile('D:\WINDOWS\System32\drivers\vmi386.sys');
 DeleteFile('D:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('D:\WINDOWS\SYSTEM32\VIDEO.sys');
 BC_DeleteFile('D:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('D:\WINDOWS\system32\msupdt.exe');
 DeleteFile('sys32.dll');
 DeleteFile('D:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=35867
Ну и логи повторно сделайте......
Опять тоже самое. Мде. Куда заходили последние разы? Что открывали вспомните?

Добавлено через 15 минут

Чтобы не быть нашим постоянный клиентом, то ознакомьтесь с этим http://virusinfo.info/showthread.php?t=30339. На всякий пожарный) . Но в любом случае можете обращаться за помощью)

Добавлено через 14 минут

Пофиксите ещё вот это

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Пора уже Service Pack 3 на Windows устанавливать (может потребоваться активация).

[PEPPER]

Карантин выслал. новые логи прилагаются.

[light59]

Пофиксите в hiJakthis

Код:

O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: c0067EC4 - c0067EC4.mat (file missing)
O20 - Winlogon Notify: ctlsys - D:\WINDOWS\
O20 - Winlogon Notify: sys32 - D:\WINDOWS\

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteFile('D:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('D:\WINDOWS\system32\c0067EC4.mat');
 DeleteFile('D:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

выполните пункты 2 и 3 разедела "диагностика" правил

Добавлено через 1 минуту

НОД32 не тащит.. не справился

[PEPPER]

Выполнено.

[light59]

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
 QuarantineFile('D:\WINDOWS\system32\mmctl.sys','');
 DeleteFile('D:\WINDOWS\system32\mmctl.sys');
 DeleteService('mmctl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам по ссылке http://virusinfo.info/upload_virus.php?tid=35867.
Повторите 2й стандартный скрипт и, думаю, больше ничего зловредоного не будет

[PEPPER]

Сделано.

[light59]

Хорошо. А теперь почитайте эту темку http://virusinfo.info/showthread.php?t=30339.
В логах чисто

[PEPPER]

Огромное спасибо всем за оперативную помощь.