mania82 Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 Началось все с того что из автозагрузки пропали все программы. После включения Касперского он нашел 2 вируса: троянская программа Trojan-PSW.Win32.Agent.kmy Файл: C:\WINDOWS.0\system32\vmmreg32.dll и троянская программа Trojan-PSW.Win32.Agent.kmy Файл: c:\windows.0\system32\video.sys, все прекрасно удалилось а после перезагрузки, так и не запустилась ни одна программа и каспер опять нашел те же самые вирусы. Помогите, пожалуйста!!! Оч. прошу!!!! virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 (изменено) Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS.0\SYSTEM32\VIDEO.sys C:\WINDOWS.0\SYSTEM32\winhelp32.exe C:\WINDOWS.0\system32\vmmreg32.dll Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Пофиксить в HijackThis следующие строчки O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS.0\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS.0\system32\clipsrv.exe','');QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');QuarantineFile('C:\WINDOWS.0\0\System32\ntdll.dll','');DeleteFile('C:\WINDOWS.0\SYSTEM32\VIDEO.sys');DeleteFile('C:\WINDOWS.0\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS.0\system32\winhelp32.exe');DeleteFile('C:\WINDOWS.0\system32\vmmreg32.dll');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('VIDEO');BC_ImportALL;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи Изменено 19 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 В программе Icesword почему то не нашла файлы: C:\WINDOWS.0\SYSTEM32\VIDEO.sys C:\WINDOWS.0\SYSTEM32\winhelp32.exe Сразу извиняюсь за глупый вопрос! "Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)" Это как? С электронки? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 А что нужно сделать чтобы стартовали все программы которые были в автозагрузке? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 mania82: доведем лечение до финала...поправим и автозагрузку :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 Тогда с нетерпением жду! :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 В логах чисто.... AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup','REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);end. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 Сделала. Каксперский запустился. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 Какие проблемы наблюдаются? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mania82 Опубликовано 20 августа, 2008 Автор Жалоба Поделиться Опубликовано 20 августа, 2008 Вроде бы все нормуль! Спасибо огромное! А скажите какие-нибудь пароли надо менять? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 20 августа, 2008 Жалоба Поделиться Опубликовано 20 августа, 2008 (изменено) Да, пароли менять необходимо (меняйте все)....этот зловред заточен, под кражу данных пользователя. Изменено 20 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.