Поймал вирус, на компьютере стоял Symantec, он его определил как
Virus Name: Downloader. Пользователь имел права локального администратора. При более детальном рассмотрении оказался еще инсталированным сервис, который удалил руками из реестра и к сожалению не записал... по памяти служба называлась W...Audio, а файл службы был типа: 2045.exe и DLL, с похожим названием.
Прочитав на форуме о том как боролись с winhelp32.exe выполнил скрипт:
moderated:::У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!
Но у меня как был в автозагрузке winhelp32.exe так и остался. При попытке удалить запуск winhelp32.exe из HKLM выдаётся ошибка - "Не удаётся удалить все выделенные параметры".
Выкладываю логи, как положено и надеюсь на вашу помощь. Заранее, спасибо!
Последний раз редактировалось Rene-gad; 12.08.2008 в 20:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин сюда нельзя прикреплять. Читайте приложение 3 правил.
По поводу Симантека - это его ложное срабатывание на хороший драйвер AVZ. И они его до сих пор не исправили. Отошлите им этот файл через встроенную функцию с пометкой "false alarm". Может быть, исправят.
Антивирус перед выполнением скрипта нужно отключать.
Не видно новых логов.
Этот зловред прописывает свою папку webmin как папку автозапуска.
Чтобы это исправить, зайдите в regedit,
откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders
и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".
Потом зайдите в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders
измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка"
Перезагрузите компьютер, удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\
Сделайте новый лог HijackThis.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки зайдите в regedit, откройте
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg
найдите там ключ, относящийся к winhelp32.exe, что-то типа Windows help service и удалите его, если он будет.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: