mania82 Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 Началось все с того что из автозагрузки пропали все программы. После включения Касперского он нашел 2 вируса: троянская программа Trojan-PSW.Win32.Agent.kmy Файл: C:\WINDOWS.0\system32\vmmreg32.dll и троянская программа Trojan-PSW.Win32.Agent.kmy Файл: c:\windows.0\system32\video.sys, все прекрасно удалилось а после перезагрузки, так и не запустилась ни одна программа и каспер опять нашел те же самые вирусы. Помогите, пожалуйста!!! Оч. прошу!!!! virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 (изменено) Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS.0\SYSTEM32\VIDEO.sys C:\WINDOWS.0\SYSTEM32\winhelp32.exe C:\WINDOWS.0\system32\vmmreg32.dll Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Пофиксить в HijackThis следующие строчки O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS.0\system32\clipsrv.exe','');QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');QuarantineFile('C:\WINDOWS.0\0\System32\ntdll.dll','');DeleteFile('C:\WINDOWS.0\SYSTEM32\VIDEO.sys');DeleteFile('C:\WINDOWS.0\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS.0\system32\winhelp32.exe');DeleteFile('C:\WINDOWS.0\system32\vmmreg32.dll');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('VIDEO');BC_ImportALL;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи Изменено 19 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 В программе Icesword почему то не нашла файлы: C:\WINDOWS.0\SYSTEM32\VIDEO.sys C:\WINDOWS.0\SYSTEM32\winhelp32.exe Сразу извиняюсь за глупый вопрос! "Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)" Это как? С электронки? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 А что нужно сделать чтобы стартовали все программы которые были в автозагрузке? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 mania82: доведем лечение до финала...поправим и автозагрузку :) Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 Тогда с нетерпением жду! :) Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 В логах чисто.... AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup','REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);end. Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 Сделала. Каксперский запустился. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 Какие проблемы наблюдаются? Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 20 августа, 2008 Автор Жалоба Поделиться Опубликовано 20 августа, 2008 Вроде бы все нормуль! Спасибо огромное! А скажите какие-нибудь пароли надо менять? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 20 августа, 2008 Жалоба Поделиться Опубликовано 20 августа, 2008 (изменено) Да, пароли менять необходимо (меняйте все)....этот зловред заточен, под кражу данных пользователя. Изменено 20 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти