winhelp32.exe vmmreg32.dll WinCtrl32.dll не удаляются.
winhelp32.exe vmmreg32.dll WinCtrl32.dll не удаляются.
Скачайте IceSword.
Запустите, слева внизу нажмите File, затем найдите:
и сделайте им Force Delete.C:\WINDOWS\System32\Drivers\Winrh71.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winrh71'); DeleteService('RDSessMgrMSIServer'); DeleteService('NetmanMessenger'); DeleteService('ERSvcSamSs'); DeleteService('COMSysAppUMWdf'); DeleteService('CiSvcHidServ'); QuarantineFile('srv.exe',''); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrh71.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrh71.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('srv.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winrh71'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28797
3. Пофиксите в HijackThis:
4. Повторите логи.O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Сердце решает кого любить... Судьба решает с кем быть...
1. Выполнено файл Winrh71.sys больше в IceSword не появлялся.
2. Скрипт выполнен - результата нет. Карантин закачан.
3. Пофиксить не удаеться.
4. повторяю логи
в IceSword удалить
авз - Мастер поиска и устранения проблем- Некорректный элемент автозапуска - устранитьКод:C:\WINDOWS\SYSTEM32\VIDEO.sys C:\WINDOWS\system32\imlog.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp C:\WINDOWS\SYSTEM32\winhelp32.exe C:\WINDOWS\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\system32\imlog.sys',''); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\TEMP\SdsCrypt.tmp',''); QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp',''); QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp',''); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
По моему все стало в порядке. Попутно пришлось востановить и обновить АВЗ.
логи высылаю
интересно куда ?
Раза три пытался, но так и не смог прикрепить.
Сейчас еще раз попробую.
Ух ты
получилось
не вижу карантина ...
файл C:\WINDOWS\TEMP\Sddrv.tmp я знаю что такое.
Других файлов в карантине не обнаружил.
Сейчас компутер недоступен.
Так что извиняйте.
И всем спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\webmin\\video.bkp - Trojan-PSW.Win32.Agent.kon (DrWEB: Trojan.Click.20003)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ays (DrWEB: Trojan.Packed.573)
Уважаемый(ая) vvv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.