Решена поймал вирус Video.sys, winhelp32.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем николай, 26 дек 2008.

Статус темы:
Закрыта.
  1. николай
    Онлайн

    николай Гость

    Помогите. Антивирус не справляется:confused: :eek:. Может и без него что-то есть. Я новичёк и про вирусы антивирусы и что со всем этим делать не разбираюсь. Извиняйте. если что не так.
     
  2. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    николай, приветствую вас на нашем форуме.

    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    SetServiceStart('VIDEO', 4);
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\afwcore.sys','');
    QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\hotcore3.sys','');
    QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
    QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ','');
    DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
    DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    DeleteFile('C:\WINDOWS\system32\DRIVERS\55109486.sys');
    DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
    DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    DeleteService('VIDEO');
    DeleteService('is-U8V3Gdrv');
    DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


    2.Пофиксить в HijackThis следующие строчки
    Код (Text):
    O20 - AppInit_DLLs: vmmreg32.dll
    Повторите логи и сделайте это:
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
    Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Как использовать ComboFix - how-to-use-combofix
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
     
  3. николай
    Онлайн

    николай Гость

    Всё, что говорили сделал и отправил
    Вот
     
  4. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    По карантину.
    C:\WINDOWS\SYSTEM32\VIDEO.sys - Trojan-PSW.Win32.Agent.ljf C:\WINDOWS\system32\vmmreg32.dll - Trojan-Spy.Win32.Agent.fta

    Пофиксите в HijackThis
    Код (Text):
    O20 - AppInit_DLLs: vmmreg32.dll
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

    Код (Text):
    File::
    C:\Documents and Settings\Пользователь\Application Data\fltk.org
    C:\WINDOWS\system32\drivers\sfc.sys
    Driver::
    sfc
    Folder::
    C:\Program Files\MyCentria
    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet005\Services\VIDEO]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=""
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  5. николай
    Онлайн

    николай Гость

    Спасибо, всё сделал. На компе никаких проявлений больше не видно. Логи повторить не могу, уже забрали комп.
     
Статус темы:
Закрыта.

Поделиться этой страницей