Посмотрите логи с моего компьютера

[Lexander]

Подцепил какойто вирус.

В результатах поиска Яндекса все ссылки заменяются на search.thebestwebsearch.net/search...

Касперский при старте не запускается.

Восстановление системы не работает ни в обычном ни в безопасном режиме.

iexplore.exe постоянно пытается записать в реестр информацию из файла bootcats.sy который создается на рабочем столе.

Копировать и вставлять информацию можно только через Ctrl-c и Ctrl-v или контекстное меню, специальные кнопки на клавиатуре "копировать" и "вставить" не работают.

В панели задач пропали буковки RU и EN языковой панели.

В надстройках IE надстройка windows update monitor bar, которая ссылается на vmreg32.dll не отключается.

Касперский видит только скрытый процесс в файле vmmreg32.dll, CureIT ничего не находит.

[Lexander]

Вот сами логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: Shell=Explorer.exe RunSys1.exeO2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exeO20 - Winlogon Notify: reset5 - reset5.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);SetServiceStart('Rsvormgrndstr', 4);QuarantineFile('c:\huadio.tmp','');QuarantineFile('C:\WINDOWS\system32\Drivers\ET5Drv.sys','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('Explorer.exe RunSys1.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');QuarantineFile('C:\WINDOWS\system32\atixdbxx.sys','');QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');QuarantineFile('Rsvormgrndstr.sys','');DeleteFile('Rsvormgrndstr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteFile('RunSys1.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\Program Files\DrWeb for Windows\Infected.!!!\ErrorSafeFreeInstall_ru[1].cab');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('VIDEO');DeleteService('Rsvormgrndstr');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(16);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи. Заметил остатки:

BitDefender10 и Outpost Firewall

Это вы вносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)?

O15 - Trusted Zone: http://go.1ps.ruO15 - Trusted Zone: http://*.aadvark.ruO15 - Trusted Zone: http://*.autoplex.ruO15 - Trusted Zone: http://*.begun.ruO15 - Trusted Zone: http://*.capitaller.ruO15 - Trusted Zone: http://*.autodealer.com.ruO15 - Trusted Zone: http://*.depositfiles.comO15 - Trusted Zone: http://*.enum.ruO15 - Trusted Zone: http://*.exchanger.ruO15 - Trusted Zone: http://*.finam.ruO15 - Trusted Zone: http://*.gismeteo.ruO15 - Trusted Zone: http://*.goodbody.ruO15 - Trusted Zone: http://*.guarantee.ruO15 - Trusted Zone: http://*.hc.ruO15 - Trusted Zone: http://*.hh.ruO15 - Trusted Zone: http://*.jetix.roO15 - Trusted Zone: http://*.jetix.ruO15 - Trusted Zone: http://*.jetixcee.comO15 - Trusted Zone: http://*.jzweb.ruO15 - Trusted Zone: http://*.krasotuli.ruO15 - Trusted Zone: http://*.mail.ruO15 - Trusted Zone: http://*.majordomo.ruO15 - Trusted Zone: http://*.massfon.ruO15 - Trusted Zone: http://*.meditex.ruO15 - Trusted Zone: http://*.megastock.comO15 - Trusted Zone: http://*.megastock.ruO15 - Trusted Zone: http://*.mixmarket.bizO15 - Trusted Zone: http://*.odnoklassniki.ruO15 - Trusted Zone: http://*.oplata.infoO15 - Trusted Zone: http://*.paymer.comO15 - Trusted Zone: http://*.phero.ruO15 - Trusted Zone: http://*.pheromagic.ruO15 - Trusted Zone: http://*.piterstyle.ruO15 - Trusted Zone: http://*.pochta.ruO15 - Trusted Zone: http://*.rambler.ruO15 - Trusted Zone: http://*.rapidshare.comO15 - Trusted Zone: http://*.roboxchange.comO15 - Trusted Zone: http://*.sape.ruO15 - Trusted Zone: http://*.softactivation.comO15 - Trusted Zone: http://*.telepat.ruO15 - Trusted Zone: http://*.webmoney.ruO15 - Trusted Zone: http://*.webnames.ruO15 - Trusted Zone: http://*.wmkeeper.comO15 - Trusted Zone: http://*.wmtransfer.comO15 - Trusted Zone: http://*.woweb.ruO15 - Trusted Zone: http://*.yandex.ruO15 - Trusted Zone: http://*.zdoroway.ru

Если нет, то тоже пофиксить.

Изменено 13 августа, 2008 пользователем akoK