nsv Опубликовано 20 февраля, 2009 Жалоба Поделиться Опубликовано 20 февраля, 2009 Здравствуйте ! Помогите пожалуйста с удалением wimhelp32.exe. Заблокирована ветка реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run - в ней находится только указанный файл. Антивирусное ПО не утанавливается, при установке выдает сообщение, что нет доступа к данной ветке реестра. RSIT при сканировании выдает ошибку: Line -1: Error: Subscript used with non-Array variable. Заранее благодарен ! virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 20 февраля, 2009 Автор Жалоба Поделиться Опубликовано 20 февраля, 2009 RSIT выполнился после перезагрузки... Прилагаю логи... info.txt log.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 20 февраля, 2009 Жалоба Поделиться Опубликовано 20 февраля, 2009 (изменено) nsv: Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить». Внимание, скрипт также удаляет службу Reset 5 , поэтому есть вероятность, что может потребоваться активация ОС после перезагрузки (хотя Reset 5 должен работать на Windows XP SP2) beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearHostsFile;ClearQuarantine;QuarantineFile('F:\WINDOWS\system32\fsxipozm.dll','');QuarantineFile('F:\WINDOWS\system32\twex.exe','');QuarantineFile('F:\Program Files\Microsoft Common\svchost.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\VIDEO.sys','');QuarantineFile('F:\WINDOWS\system32\srvany.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll','');QuarantineFile('F:\WINDOWS\System32\drivers\runtime.sys','');QuarantineFile('F:\WINDOWS\system32\drivers\sfc.sys','');QuarantineFile('F:\Documents and Settings\All Users\Application Data\tsolib.dll','');DeleteFile('F:\Documents and Settings\All Users\Application Data\tsolib.dll');DeleteFile('F:\WINDOWS\system32\drivers\sfc.sys');DeleteFile('F:\WINDOWS\System32\drivers\runtime.sys');DeleteFile('F:\WINDOWS\system32\twex.exe');DeleteFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll');DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('F:\WINDOWS\system32\srvany.exe');DeleteFile('F:\WINDOWS\SYSTEM32\VIDEO.sys');DeleteFile('F:\Program Files\Microsoft Common\svchost.exe');DeleteFile('F:\WINDOWS\system32\fsxipozm.dll');DeleteFile('G:\jgsi.exe');DeleteFile('G:\u.bat');DeleteFileMask('F:\WINDOWS\system32\', '*.tmp', true);DeleteFileMask('F:\WINDOWS\', '*.tmp', true);DeleteFileMask('F:\Documents and Settings\nsv\Local Settings\Temp\', '*.*', true);DeleteFileMask('F:\WINDOWS\system32\wsnpoem\', '*.*', true);DeleteDirectory('F:\WINDOWS\system32\wsnpoem');DeleteFileMask('%Tmp%', '*.*', true);DelCLSID('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('Reset 5');DeleteService('VIDEO');DeleteService('runtime');DeleteService('sfc');ExecuteRepair(1);ExecuteRepair(9);ExecuteWizard('TSW', 1, 1, true);ExecuteWizard('BT', 1, 1, true);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_DeleteFile('F:\WINDOWS\SYSTEM32\VIDEO.sys');BC_DeleteFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll');BC_DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');BC_DeleteFile('F:\WINDOWS\system32\fsxipozm.dll');BC_DeleteSvc('VIDEO');BC_DeleteSvc('runtime');BC_DeleteSvc('sfc');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему Включите показ скрытых файлов и файлы из папки F:\WINDOWS\system32\twain32 проверьте на virustotal.com Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf Проверьте систему с помощью CureIT и AVPTool в безопасном режиме. Если безопасный режим не будет работать, AVZ-восстановление системы - п.10 Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь и здесь Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Изменено 20 февраля, 2009 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 20 февраля, 2009 Автор Жалоба Поделиться Опубликовано 20 февраля, 2009 После выполнения скрипта winhelp32.exe в реестре больше нет. Спасибо ! Но по-прежнему нет доступа к реестру... ServicePack3 не устанавливается... Выдает ошибку "Отказано в доступе". Отправляю новые логи. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 20 февраля, 2009 Жалоба Поделиться Опубликовано 20 февраля, 2009 nsv: вы пост предыдущий внимательно читали? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 26 февраля, 2009 Автор Жалоба Поделиться Опубликовано 26 февраля, 2009 Здравствуйте. После выполнения Malwarebytes' Anti-Malware и SDFix система работала нормально. Установился ServicePack3 и Symantec Antivirus. Но через некоторое время опять появился Winhelp32.exe. После повторного запуска SDFix, Malwarebytes' Anti-Malware, ComboFix и Gmer winhelp32.exe нет, доступ к веткам реестра имеется... Боюсь что до конца не вылечил. Прикладываю логи всех утилит. Заранее благодарен за помощь ! virusinfo_syscheck.zip virusinfo_syscure.zip log.zip info.txt log.txt mbam_log_2009_02_26__11_50_32_.zip Report.zip Gmer.zip virusinfo_syscheck.zip virusinfo_syscure.zip log.zip info.txt log.txt mbam_log_2009_02_26__11_50_32_.zip Report.zip Gmer.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 26 февраля, 2009 Жалоба Поделиться Опубликовано 26 февраля, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');QuarantineFile('F:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('F:\WINDOWS\SYSTEM32\winhelp32.exe','');DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('F:\WINDOWS\system32\vmmreg32.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Повторите логи АВЗ. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 26 февраля, 2009 Автор Жалоба Поделиться Опубликовано 26 февраля, 2009 Повторяю логи... virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 февраля, 2009 Жалоба Поделиться Опубликовано 26 февраля, 2009 Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Это сделали? f:\windows\system32\nsv.bat - это у вас что? f:\program files\german.dll - проверьте на virustotal.com reset5 (службу и f:\windows\system32\reset5.dll)- удалите, Пофиксите в HJT O20 - Winlogon Notify: reset5 - F:\WINDOWS\SYSTEM32\reset5.dll FlashGet рекомендую деинсталлировать. У вас ещё kido, проверьте систему с помощью AVPTool и KidoKiller, установите все обновления. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File::f:\windows\system32\xf:\windows\system32\drivers\_003869_.tmp.dllf:\windows\system32\drivers\_005967_.tmp.dllG:\u.batDriver::ydzowyackqmfgbwRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d102c3e0-8ebf-11dd-b661-0080484589a3}]FileLook::f:\program files\german.dll DirLook::f:\windows\system32\nsv.bat После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению, сделайте также новые логи RSIT. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 26 февраля, 2009 Автор Жалоба Поделиться Опубликовано 26 февраля, 2009 f:\windows\system32\nsv.bat - пустая папка; German.dll - от программы, я ее не использую, удалил... kido не найден с помощью утилиты kido_killer... ComboFix.txt info.txt log.txt ComboFix.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 февраля, 2009 Жалоба Поделиться Опубликовано 26 февраля, 2009 nsv: ничего плохого больше не вижу (только остатки от reset5 есть f:\windows\reset5.dt?). Сомневаюсь, что за это время вы успели проверить систему с помощью AVPTool, поэтому ещё раз рекомендую. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru Вложите в архив также файл C:\SDFix\backups\backups.zip Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Скачайте OTCleanIt, запустите, нажмите CleanUp! Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы Советую прочитать Безопасный Интернет. Универсальная защита для Windows ME - Vista, Базовая концепция системы безопасности ОС Windows семейства NT Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
nsv Опубликовано 27 февраля, 2009 Автор Жалоба Поделиться Опубликовано 27 февраля, 2009 Архив отправил на указанный адрес. Большое всем спасибо !!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2009 Жалоба Поделиться Опубликовано 27 февраля, 2009 nsv: архив получен, спасибо, зловреды отправлены по вирлабам, Касперский уже добавил в свои базы ) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.