Не удаляется вирус

**sklnina** · 14.08.2008, 10:10

Добрый день, не могу удалить вирус. Он удаляется, но после перезагрузки снова появляется.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 14.08.2008, 10:24

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\system32\gcc.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('protect');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 DeleteService('Glq05');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Glq05.sys','');
 DeleteService('Afk83');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Afk83.sys','');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 DeleteService('FCI');
 QuarantineFile('C:\WINDOWS\system32\fci.exe','');
 QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dwshd.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\dwshd.sys');
 DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\fci.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Afk83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Glq05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\gcc.exe');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**sklnina** · 14.08.2008, 13:39

пересылаю файлы второй раз

**sklnina** · 14.08.2008, 14:24

подскажите пожалуйста, что нужно еще сделать?

**Rene-gad** · 14.08.2008, 14:48

Сообщение от sklnina

подскажите пожалуйста, что нужно еще сделать?

Не сердитесь, плиз. Этот вирус очень зловредный. Мы ищем способ борьбы против него.
Догрузите пожалуйста в любом случае 3 -й лог.

**sklnina** · 14.08.2008, 15:10

я не сержусь. извините, что проятила несдержанность, ..просто не знаю что делать...
что за третий лог загрузить нужно?

**Rene-gad** · 14.08.2008, 15:14

Сообщение от sklnina

что за третий лог загрузить нужно?

hijackthis.log

Зайдите в regedit и экспортируйте в файл ветку реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

Файл экспорта запакуйте в архив и прикрепите архив.

IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe

Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**sklnina** · 14.08.2008, 16:27

Обновленные логи

**kps** · 14.08.2008, 19:18

В логах чисто.
Зайдите в regedit,
откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders
и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

Потом зайдите в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders
измените значение параметра "Startup" на "%USERPROFILE%\Главное меню\Программы\Автозагрузка"

**CyberHelper** · 22.02.2009, 07:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 37
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.vd (DrWEB: Trojan.Packed.573)
2. c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
3. c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.klo (DrWEB: Trojan.MulDrop.18333)
4. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.klo (DrWEB: Trojan.MulDrop.18333)
5. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.klo (DrWEB: Trojan.MulDrop.18333)

Не удаляется вирус (заявка № 28070)

Опции темы

Не удаляется вирус

Итог лечения

Похожие темы

Не удаляется вирус...

Вирус не удаляется

вирус не удаляется!

Не удаляется вирус

Вирус не удаляется..

Ваши права в разделе