Вирус!, По-моему проблемы с winhelp32...

[TornadoBS]

Сначала исчезли программы из автозагрузки, странно ведет себя IE... Похоже на вирус! Восстановление системы на проходит ((
Согласно правилам проверил программкой CureIT DrWeb, нашлись файлы с подозрением на MULDROP: winhelp32 - дал команду удалить.

Помогите вылечить больного!

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\video.sys');
 DeleteFile('c:\windows\system32\wpx23.cpx');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[TornadoBS]

Карантин отправил. Вот новые логи:

[V_Bond]

скачайте C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 BC_DeleteSvc('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 BC_DeleteSvc('ethnxmtz');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethnxmtz.sys','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ethnxmtz.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('c:\windows\system32\wpx23.cpx');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[TornadoBS]

Карантин закачал. Вот логи.
Почему-то стал комп сам перегружаться при загрузке через раз и выдавать ошибку ....

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
 DeleteFile('c:\windows\system32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[Rene-gad]

services.exe_ - Trojan.Win32.Agent.yaq,
VIDEO.bkp - Rootkit.Win32.Agent.cbs,
vmmreg32.bkp, vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq,
winhelp32.exe_ - Trojan-PSW.Win32.Agent.kkr

[TornadoBS]

Все сделал, логи...

[V_Bond]

в ICESword удалите ...

Код:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp

затем выполните скрипт из поста 6 ...
повторите логи ...

[TornadoBS]

Все сделал, но после удаления файлов через ICESword комп не загрузился с первого раза.... Вот логи:

[V_Bond]

Все сделал, но после удаления файлов через ICESword комп не загрузился с первого раза....

вы случайно последнюю удачную конфигурацию не загружали ?

[TornadoBS]

Нет. Он после перезагрузки завис, и выключился только по кнопке питания. Почле этого пошла проверка дисков и загрузка.... дополнительно вопросов не было...

[V_Bond]

давайте в таком порядке ...
1 отключите антивирус
2 удалите файлы ICESword
3 выполните скрипт ...
4 повторите логи начиная с пункта 10 правил ...

[TornadoBS]

Отключил, удалил, выполнил....

[V_Bond]

1 отключите антивирус
2 удалите файлы ICESword

Код:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll

3 выполните скрипт ..

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('vmmreg32.dll');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

4 повторите логи начиная с пункта 10 правил ...

[kps]

Сделайте так:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск".
Отметьте и исправьте проблему "Некорректный элемент автозапуска"

Потом выполните, что посоветовал V_Bond в посте номер 15.

[TornadoBS]

Я уже сделал все по рекомендации V_Bond'а...
Файлов winhelp32.exe и vmmreg32.dll не нашел...
После перезагрузки вышло сообщение неизвестно какой прогой открыть video.bkt - сделал отмену.
Вот логи:

[kps]

Я уже сделал все по рекомендации V_Bond'а...

Все равно выполните мою рекомендацию.
А потом снова скрипт от V_Bond.

[TornadoBS]

Все сделал....Логи:

[V_Bond]

чисто ...