Показано с 1 по 19 из 19.

помогите убить зловреда (заявка № 36300)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56

    Exclamation помогите убить зловреда

    доброго дня

    winhelp32.exe и все такое... Startup убит. AVZ распаковать не дает, ругается на quota (Error: Not enough quota is available to process this command.). Посему лог только от HijackThis

    Благодарен за помощь заранее
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Скачайте вот эту сборку AVZ. Далее по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56

    согласно правилам

    прилагаю файлы
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\syncps.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\syncps.dll');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     BC_ImportALL;
     BC_DeleteSvc('VmbInfce');
     BC_DeleteSvc('VIDEO');
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    карантин загрузил

    логи в аттаче
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    лог virusinfo_syscure.zip прикрутите к сообщению

  8. #7
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    извиняюсь
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    После выполнения скрипта сделайте НОВЫЕ логи... Вы старые прицепили что ли?

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    я, конечно, идиот, раз поймал вирус...

    но не до такой степени...

    логи, естественно, после скрипта.

    какие изменеия должен был вызвать скрипт? может, что не так пошло?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Удалите с помощью IceSword
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    Выполните скрипт
    Код:
    begin
     DelAutorunByFileName('syncps.dll');
    end.
    Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    ок, сейчас сделаю...

    удалил, они сразу появились опять.... убил процесс winhelp32, удалил опять...
    снова появились...

    есть смысл повторять логи?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Удалите IceSword'ом эти файлыбез перезагрузки
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    и потом сразу повторите скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('VIDEO', 4);
     DeleteService('VIDEO');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\syncps.dll');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     BC_ImportALL;
     BC_DeleteSvc('VmbInfce');
     BC_DeleteSvc('VIDEO');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    удалил

    повторил скрипт

    повторил логи
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: vmmreg32.dll
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    clearquarantine;
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\elserial.sys','');
     QuarantineFile('D:\Profiles\pag001\Local Settings\Application Data\Google\Update\GoogleUpdate.exe','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('VmbInfce');
     DeleteService('VIDEO');
     QuarantineFile('d:\software\avir\game.exe','');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\vmbinfce.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36300
    Повторите логи по правилам.
    Зловреда вродь добили, но ещё пару файликов в карантин засунул, проверить нужно

  16. #15
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    карантин отправил

    логи в аттаче...

    как же я вам благодарен....
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт
    Код:
    begin
     DelWinlogonNotifyByFileName('syncps.dll');
    end.
    Логи в порядке.

  18. #17
    Junior Member Репутация
    Регистрация
    25.12.2008
    Сообщений
    11
    Вес репутации
    56
    выполнил


    спасибо вам огромное!!!!!

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    elserial.sys - Trojan-Spy.Win32.Goldun.blq

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('elSerial');
     DeleteService('elSerial');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\elserial.sys');
    BC_ImportDeletedList;
     BC_DeleteSvc('elSerial');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.zip

    Добавлено через 3 минуты

    И установите SP3 на windows. (может потребоваться активация)
    Последний раз редактировалось light59; 26.12.2008 в 16:25. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\elserial.sys - Trojan-Spy.Win32.Goldun.blq (DrWEB: Trojan.PWS.GoldSpy.2585)
      2. c:\\windows\\system32\\syncps.dll - Trojan-Spy.Win32.Goldun.blj (DrWEB: Trojan.PWS.GoldSpy.2584)
      3. c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.lkk (DrWEB: Trojan.NtRootKit.2525)
      4. c:\\windows\\system32\\vmmreg32.dll - Trojan-Dropper.Win32.Agent.acih (DrWEB: Trojan.MulDrop.29402)
      5. c:\\windows\\system32\\winhelp32.exe - Trojan-Dropper.Win32.Agent.achq (DrWEB: Trojan.MulDrop.29404)


  • Уважаемый(ая) drdralex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите добить зловреда
      От Big J в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 08.12.2011, 23:56
    2. Помогите убить зловреда!
      От UU2JJ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.08.2010, 18:34
    3. не могу убить родителей зловреда
      От sergei84 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.08.2010, 01:27
    4. Помогите изгнать зловреда.
      От Nonka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.04.2010, 21:04
    5. Зловреда помогите убить
      От byak в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 14:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00081 seconds with 20 queries