доброго дня
winhelp32.exe и все такое... Startup убит. AVZ распаковать не дает, ругается на quota (Error: Not enough quota is available to process this command.). Посему лог только от HijackThis
Благодарен за помощь заранее
доброго дня
winhelp32.exe и все такое... Startup убит. AVZ распаковать не дает, ругается на quota (Error: Not enough quota is available to process this command.). Посему лог только от HijackThis
Благодарен за помощь заранее
Скачайте вот эту сборку AVZ. Далее по правилам.
прилагаю файлы
Выполните скриптЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\syncps.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\syncps.dll'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); BC_ImportALL; BC_DeleteSvc('VmbInfce'); BC_DeleteSvc('VIDEO'); BC_Activate; ExecuteSysClean; ExecuteWizard('TSW', 1, 1, true); ExecuteWizard('BT', 1, 1, true); RebootWindows(true); end.
карантин загрузил
логи в аттаче
лог virusinfo_syscure.zip прикрутите к сообщению
извиняюсь
После выполнения скрипта сделайте НОВЫЕ логи... Вы старые прицепили что ли?
я, конечно, идиот, раз поймал вирус...
но не до такой степени...
логи, естественно, после скрипта.
какие изменеия должен был вызвать скрипт? может, что не так пошло?
Удалите с помощью IceSwordВыполните скриптКод:c:\windows\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\VIDEO.sysПовторите логи.Код:begin DelAutorunByFileName('syncps.dll'); end.
ок, сейчас сделаю...
удалил, они сразу появились опять.... убил процесс winhelp32, удалил опять...
снова появились...
есть смысл повторять логи?
Удалите IceSword'ом эти файлыбез перезагрузки
и потом сразу повторите скрипт в AVZКод:c:\windows\system32\winhelp32.exe C:\WINDOWS\system32\vmmreg32.dll C:\WINDOWS\SYSTEM32\VIDEO.sys
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('VIDEO', 4); DeleteService('VIDEO'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\syncps.dll'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); BC_ImportALL; BC_DeleteSvc('VmbInfce'); BC_DeleteSvc('VIDEO'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
удалил
повторил скрипт
повторил логи
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:O20 - AppInit_DLLs: vmmreg32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); clearquarantine; QuarantineFile('C:\WINDOWS\system32\DRIVERS\elserial.sys',''); QuarantineFile('D:\Profiles\pag001\Local Settings\Application Data\Google\Update\GoogleUpdate.exe',''); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); DeleteService('VmbInfce'); DeleteService('VIDEO'); QuarantineFile('d:\software\avir\game.exe',''); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\system32\drivers\vmbinfce.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36300
Повторите логи по правилам.
Зловреда вродь добили, но ещё пару файликов в карантин засунул, проверить нужно
карантин отправил
логи в аттаче...
как же я вам благодарен....
Выполните скриптЛоги в порядке.Код:begin DelWinlogonNotifyByFileName('syncps.dll'); end.
выполнил
спасибо вам огромное!!!!!
elserial.sys - Trojan-Spy.Win32.Goldun.blq
Выполните скрипт в AVZ
Повторите лог virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('elSerial'); DeleteService('elSerial'); DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys'); BC_ImportDeletedList; BC_DeleteSvc('elSerial'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 3 минуты
И установите SP3 на windows. (может потребоваться активация)
Последний раз редактировалось light59; 26.12.2008 в 16:25. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\elserial.sys - Trojan-Spy.Win32.Goldun.blq (DrWEB: Trojan.PWS.GoldSpy.2585)
- c:\\windows\\system32\\syncps.dll - Trojan-Spy.Win32.Goldun.blj (DrWEB: Trojan.PWS.GoldSpy.2584)
- c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.lkk (DrWEB: Trojan.NtRootKit.2525)
- c:\\windows\\system32\\vmmreg32.dll - Trojan-Dropper.Win32.Agent.acih (DrWEB: Trojan.MulDrop.29402)
- c:\\windows\\system32\\winhelp32.exe - Trojan-Dropper.Win32.Agent.achq (DrWEB: Trojan.MulDrop.29404)
Уважаемый(ая) drdralex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.