CureIt в обычном режиме запускается, но потом падает по ошибке. В защищенном режиме находит вирусы в файлах
vmmreg32.dll
winhelp32.exe
VIDEO.sys
но не может их вылечить.
Фалы с диагностикой прикрепил. Жду советов
CureIt в обычном режиме запускается, но потом падает по ошибке. В защищенном режиме находит вирусы в файлах
vmmreg32.dll
winhelp32.exe
VIDEO.sys
но не может их вылечить.
Фалы с диагностикой прикрепил. Жду советов
в защищённом надо было выбрать в cureit удаление- лечить их в вашем случае не надо
выполните скрипт @ avz
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\0\VIDEO.sys',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\system32\0\VIDEO.sys'); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); BC_DeleteSvc('VIDEO'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сканировать повторно в безопасном с cureit , выбрать удаление.
повторите логи.
Меняйте пароли, ставьте sp3 и остальные заплатки.
Последний раз редактировалось drongo; 18.03.2009 в 14:30. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо! CureIt запускается в нормальном режиме и ничего не находит
ЗЫ Нужно карантин прислать? Вроде бы все в порядке...
ЗЗЫ Посмотрел - карантин получился большой 2.9Мб (не архивированный) Там файл video.sys 3 раза записан, а остальные 2 по 5 раз... Точнее с расширением .dta все по одному разу, а остальное с .dat и причиной карантина "BootCleaner quarantine".
Последний раз редактировалось AVG50; 18.03.2009 в 15:25.
Нужно, пришлите что есть в карантине, но только, чтобы повторов не было и повторите логи...
Извиняюсь за задержку.
Это логи. В качестве пояснения
1) в директории Windows/System32 был директорий "0". Перед лечением компа я (на всякий случай) запихнул в него копии зараженных файлов. После того, как отработал ваш скрипт и комп был вылечен я подумал что это я сам создал этот директорий (я всегда создаю темп-директории с таким именем) и со спокойной душой переименовал его с -vir- А теперь оказалось, что в нем лежало 2 подозрительных файла с расширениями .с
2) Можно грохнуть весь мусор в директории Local Settings/TEMP ? А то у меня там уже полгига лежит...
3) Порекомендуйте чем можно почистить и оптимизировать реестр - подозреваю что там тоже много мусора накопилось за 3 года...
Упс... с карантином проблемы. Те файлы, с которыми мы боролись я запаковал в архив самим avz и отослал. А вот ещё один файл :
ALSNDMGR.Cww
имеет размер 258,605,056 и я обламался его закачать, хотя при последнем тестировании avz скинул его в карантин В этой же директории есть такой же файл с расширением .c :
ALSNDMGR.C
Стоит опасаться этих файлов? Напомню, что раньше они были в Windows/system32/0 а потом я его переименовал в -vir-
Последний раз редактировалось AVG50; 18.03.2009 в 18:46.
по касперскому :
Trojan-Dropper.Win32.Agent.ahir
Spy.Win32.Agent.gxa
Trojan-PSW.Win32.Agent.lnf
Пароли менять надо исходя из последнего
Подозрительный файл конечно загрузить по правилам.
временные файлы конечно почистить. рекомендую ccleaner, заодно и реестр подчистит от мусора.
Пофиксить в hijackthis:
не перегружаясь выполнить скрипт @ avzКод:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe O20 - AppInit_DLLs: vmmreg32.dll
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
ставить заплатки надо первым делом, ну и инструкции ждут:http://virusinfo.info/showthread.php?t=30339
P.S. хранить вирусы в системной директории это вообще" убицца веником "
Последний раз редактировалось drongo; 19.03.2009 в 15:18. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\vmmreg32.dll - Trojan-Dropper.Win32.Agent.ahir ( DrWEB: BackDoor.Zapinit.86, BitDefender: Backdoor.Generic.144602 )
- c:\windows\system32\winhelp32.exe - Trojan-Spy.Win32.Agent.gxa ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1265949 )
- c:\windows\system32\0\video.sys - Trojan-PSW.Win32.Agent.lnf ( DrWEB: BackDoor.Zapinit.86, BitDefender: Trojan.Generic.1309282 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) AVG50, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.