поймал вирус Video.sys

[Esper]

День/вечер добрый!

поймал вот каким то образом вирус, никак не могу избавиться, что нод, что авира, что другие антивирусы удаляют его до первой перезагрузки, мало того, этот гад еще и реестр как то заблокировал так, что почистить раздел HKLM/software/mikrosoft/windows/run невозможно...

в автозагрузке winhelp, выгрузить не получается

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[akoK]

DameWare Mini Remote Control - сами устанавливали?

И разберитесь с программами защиты НОД, Авира, Trend Micro

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\VIDEO.sys

C:\WINDOWS\system32\vmmreg32.dll

C:\WINDOWS\SYSTEM32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки

 	O20 - AppInit_DLLs: vmmreg32.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\afwcore.sys','');QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\hotcore3.sys','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ','');DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\55109486.sys');DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteService('VIDEO');DeleteService('is-U8V3Gdrv');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Желательно установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Esper]

И снова доброго времени суток!

да, Dame Ware поставленно вполне осознано)

По поводу разобраться с защитой антивиров.. вроде как все что ставил удалил, кроме trend Mikro, там он паролем защищен, не могу удалить((

вот..высылаю вам новые логи

спасибо за помощь!

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\TEMP\YODCFA.EXE','');QuarantineFile('C:\WINDOWS\system32\Drivers\uty1ndux.sys','');QuarantineFile('c:\windows\temp\dk6ef8.exe','');TerminateProcessByName('c:\windows\temp\dk6ef8.exe');DeleteFile('c:\windows\temp\dk6ef8.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

2.Пофиксить в HijackThis следующие строчки )

O20 - AppInit_DLLs: vmmreg32.dll 

Повторите логи.

[akoK]

Esper: а зачем мне лог комбофикса в почту? :blush2:

C:\WINDOWS\SYSTEM32\VIDEO.sys - Trojan-PSW.Win32.Agent.ljf (необходимо менять пароли)

C:\WINDOWS\system32\vmmreg32.dll - Trojan-Spy.Win32.Agent.fta

ComboFix.txt

ComboFix.txt

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::C:\Documents and Settings\Пользователь\Application Data\fltk.orgC:\WINDOWS\system32\drivers\sfc.sysDriver::sfcFolder::C:\Program Files\MyCentriaRegistry::[-HKEY_LOCAL_MACHINE\system\ControlSet005\Services\VIDEO][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=""

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

Изменено 26 декабря, 2008 пользователем akoK

[Homo sapiens]

Здравствуйте уважаемые пользователи !

Столкнулся со страшным вирусом Winhelp32.

Всё перепробовал, что здесь предлагается удалил необходимые файлы, фиксил и т.д. Но главный вред так и не прошёл - не отображаются значки на панели задач (где время и т.п.). Что делать ?

hijackthis_______________.txt

hijackthis_______________.txt

[akoK]

Homo sapiens: создайте отдельную тему и подготовьте логи

[Esper]

Esper: а зачем мне лог комбофикса в почту? :blush2:

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

ну я и прикрепил))

[Esper]

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

ну я и прикрепил))

блин, уже сам свой косяк понял...

ладно, с кем не бывает, задумался однако))

[Esper]

логи проверки после выполнения

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\TEMP\YODCFA.EXE','');QuarantineFile('C:\WINDOWS\system32\Drivers\uty1ndux.sys','');QuarantineFile('c:\windows\temp\dk6ef8.exe','');TerminateProcessByName('c:\windows\temp\dk6ef8.exe');DeleteFile('c:\windows\temp\dk6ef8.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Esper]

логи после выполнения последних скриптов

люди, а на чем вообще эти скрипты пишутся, и как самому в этом разобраться?

а то компов много, хотелось бы научиться самому справляться, чтобы не тревожить лишний раз..

буду благодарен за любую информацию

Report.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Report.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Esper: а в чем разница между постом №11 и 12? И что это за скрипт? :blush2:

[Esper]

Esper: а в чем разница между постом №11 и 12? И что это за скрипт? :)

ну я так понял Ваш коллега/соперник помочь решил

ну сперва выполнил скрипт из поста №4, поскольку Trend mikro при проверкой AVZ обнаруживает эти файлы как вирус, ну и по "просьбе трудящихся" выложил логи, а затем выполнил то, что Вы мне прислали, ну и так же выложил логи.. строго прошу не судить, новичок однако, вообще первый форум который использую..

[ТроПа]

люди, а на чем вообще эти скрипты пишутся, и как самому в этом разобраться?

Некоторые это для АВЗ, есть редактор скриптов, некоторые - это для ComboFix - это последовательность что удалить. Всё это мы проделываем после анализа логов. Ну вообще мы сами учились, и проходили обучение и проверку знаний :)

Попробуйте в АВЗ -- сервис--поиск файлов на диске и поищите DR970B.EXE находится или нет?

Карантин получил, там пусто

[Esper]

Некоторые это для АВЗ, есть редактор скриптов, некоторые - это для ComboFix - это последовательность что удалить. Всё это мы проделываем после анализа логов. Ну вообще мы сами учились, и проходили обучение и проверку знаний :)

Попробуйте в АВЗ -- сервис--поиск файлов на диске и поищите DR970B.EXE находится или нет?

Карантин получил, там пусто

именно такого файла нет, есть в процессах и в папке windows\temp какой то wi7149, при выгрузке процесса находить перестал..

может ли быть что какой то враг создает себе при каждой загрузке новое имя?

и еще, во время выполнения того скрипта что Вы мне прислали антивирус находит троянов как раз в папке драйверз..

можно ли их удалить вручную?

а здесь на форуме есть литература на тему скриптов?

[akoK]

Основная литература это справка AVZ.

[Esper]

Основная литература это справка AVZ.

ммм...

спасибо, посмотрю...

а то привык как то методом тыка разбираться)))))

[ТроПа]

и еще, во время выполнения того скрипта что Вы мне прислали антивирус находит троянов как раз в папке драйверз..

можно ли их удалить вручную?

Вы антивирус отключали во время выполнения скриптов? Если нет то понятно что он ругается, там АВЗ ставит свой драйвер для удаления врагов, вот антивирус и кричит во всю, что это вирус. Вообще это нормальная реакция на драйвер АВЗ.

[Esper]

Вы антивирус отключали во время выполнения скриптов? Если нет то понятно что он ругается, там АВЗ ставит свой драйвер для удаления врагов, вот антивирус и кричит во всю, что это вирус. Вообще это нормальная реакция на драйвер АВЗ.

упс..

нет не отключал, но оправданием моей непростительной глупости может быть только то, что там антивирус требует пароль на выгрузку, а я его не знаю..никто не подскажет, можно ли это обойти как нить?