Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Winhelp32.exe и думаю он не один там, заблокирован рееестр [Trojan-PSW.Win32.Agent.lkk, Trojan-Dropper.Win32.Agent.acgt ] (заявка № 36530)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33

    Question Winhelp32.exe и думаю он не один там, заблокирован рееестр [Trojan-PSW.Win32.Agent.lkk, Trojan-Dropper.Win32.Agent.acgt ]

    Не могу вычистить машину от этих прелестей. Стоял clamwin-0.94 ожидали лиц ПО KAV. Теперь и Касперского не могу поставить - в ходе установки выдает последовательно 3 ошибки. .и ошибку записи в реестр ветки автостарта. Так же не может зарегистрироваться. Вобщем прошу помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:

    C:\WINDOWS\System32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    и сделайте им Force Delete.

    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{7c6e1044-dbf1-edb3-57bb-d40a130ea5bd}');
     DelBHO('{1f460357-8a94-4d71-9ca3-aa4acf32ed8e}');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlr38.sys');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DelWinlogonNotifyByKeyName('WinCtrl32');
     DelWinlogonNotifyByKeyName('syncps');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('video');
     BC_DeleteSvc('Winlr38');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36530

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Спасибо, Сашенька, что помогаете. С наступающими Вас! Здоровья и денег.
    вот логи после исполнения выше перечисленных действий.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксить:
    Код:
    O20 - AppInit_DLLs: vmmreg32.dll
    O20 - Winlogon Notify: syncps - syncps.dll (file missing)
    O21 - SSODL: WebProxy - {A744F16C-B2D5-4138-81A2-085CDFCDE83A} - sxmg4.dll (file missing)
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,
    O2 - BHO: myiebho - {7c6e1044-dbf1-edb3-57bb-d40a130ea5bd} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Еще пару указаний напишу чуть позже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Павел, выполнил Ваши указания. Я понимаю что отступление от темы тут не приветствуется, но все же спрошу - с чем мы боремся и как его зовут? Я читал похожие ветки, но там все также безлико.. народ просто радуется освобождению от неприятности, а я хочу еще и знать что это было?
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Боремся вот с этим:
    digeste.dll - Backdoor.Win32.Small.had

    И еще парочкой паразитных файлов.

    З.Ы. Отступления не то чтобы не приветствуются, но и не наказываются.
    Спрашивайте, ответим, если сами знаем.

    Добавлено через 8 минут

    Описание:
    sxmg4.dll -
    http://www.oral8.cn/viruscom/viruscom_26099.html

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('digeste.dll');
     DeleteFile('sxmg4.dll');
     BC_DeleteFile('sxmg4.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Заменить sfsdll.exe на sfcdll.bak

    Сделать новые логи.
    Последний раз редактировалось PavelA; 30.12.2008 в 13:51. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Вот по этой ссылке есть SXMG4.DLL removal
    как я понял ссылка для информации а не для скачивания этой утилиты и использования ее?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Да, ссылка для Информации. Мы пытаемся бороться своими методами. Ну, уж если они не проходят, то применяем сторонние.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    спасибо за разъяснения
    логи
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот это неправильно:
    O23 - Service: Kaspersky Anti-Virus (avp) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" -r (file missing)
    O23 - Service: Eset HTTP Server (ehttpsrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

    Должен быть один.

    Далее. AVZ - Сервис - Менеджер Active Setup - удалить то, что там висит.

    Добавлено через 1 минуту

    Выполните:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\92e9492a.sys','');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин.
    Последний раз редактировалось PavelA; 30.12.2008 в 15:53. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Вот это неправильно:
    O23 - Service: Kaspersky Anti-Virus (avp) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" -r (file missing)
    O23 - Service: Eset HTTP Server (ehttpsrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

    Должен быть один.

    Далее. AVZ - Сервис - Менеджер Active Setup - удалить то, что там висит.
    это поправим - оставим один AVP просто все что смог подсунуть это нод32, авп при этом корректно удалить не смог.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    'C:\WINDOWS\System32\Drivers\sfc.SYS' - вот этого тоже победили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполните:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\92e9492a.sys','');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин.
    Вот это выполнил - но папка карантина пуста! Так что прислать нечего

    Касперский поставился, Нод32 убился благополучно, но осталась проблема в том что есть какоето перенаправление на локал хост. .т.е. все внешни адреса инета смотрятся по одному и тому же локал хосту 127,0,0,1.
    Это начинается после попытки касперского зарегестрироваться, т.е. если пингуем адрес сервера регистрации то получаем пинг до локал хоста - вот такие вот пироги. Я видел в логах какойто псевдо прокси.. может это его остатки мудрят?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лог Хиджака сделай.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    вот
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Качаем Icesword. в нем находим и удаляем:
    C:\WINDOWS\System32\drivers\92e9492a.sys

    После него скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     dELETEFile('C:\WINDOWS\System32\drivers\92e9492a.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Далее делаем новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Всех, с наступившими!!!!
    вот логи
    Вложения Вложения

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    1.Хвосты Нода остались.
    2. Через Icesword файл удалился?
    3.sfcfiles.dll скопировать из system32/dllcache
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Воронеж
    Сообщений
    15
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    1.Хвосты Нода остались.
    2. Через Icesword файл удалился?
    3.sfcfiles.dll скопировать из system32/dllcache
    А я както хвосты нода не вижу, вроде корректно анинсталлом удалял. Может посоветуете чем еще почистить, и сразу вопрос.. почему мы избавляемся от нода и его остатков так досконально?

    ФАйл вроде удалился.. делал форс делете

    а куда скопировать длл?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от paradox777 Посмотреть сообщение
    А я както хвосты нода не вижу, вроде корректно анинсталлом удалял. Может посоветуете чем еще почистить, и сразу вопрос.. почему мы избавляемся от нода и его остатков так досконально?
    Чтобы не мешал работать другому а/вирусу, Касперскому или какому-нибудь другому.
    Цитата Сообщение от paradox777 Посмотреть сообщение
    ФАйл вроде удалился.. делал форс делете
    Скрипт напишу для очистки остатков.
    Цитата Сообщение от paradox777 Посмотреть сообщение
    а куда скопировать длл?
    На место в system32.

    Добавлено через 2 минуты

    Скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('92e9492a');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\92e9492a.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 12.01.2009 в 15:47. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) paradox777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите, думаю, Что Vundo.od ! [Trojan-Ransom.Win32.Cidox.std ]
      От Артем Степанов в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.08.2012, 19:46
    2. Думаю что это вирус.
      От kinbov в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.07.2012, 10:33
    3. Думаю, лечил и недолечил...
      От exklever в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.05.2010, 14:22
    4. Не работает Dr. Web, думаю из-за вируса
      От qgigi в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.10.2009, 12:05
    5. Ответов: 1
      Последнее сообщение: 29.01.2009, 17:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00785 seconds with 17 queries