Решена поймал вирус Video.sys, winhelp32.exe

[николай]

Помогите. Антивирус не справляется . Может и без него что-то есть. Я новичёк и про вирусы антивирусы и что со всем этим делать не разбираюсь. Извиняйте. если что не так.

 

[antispy]

николай, приветствую вас на нашем форуме.

Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы

C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\afwcore.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hotcore3.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\55109486.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteService('VIDEO');
DeleteService('is-U8V3Gdrv');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


2.Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: vmmreg32.dll

Повторите логи и сделайте это:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

[николай]

Всё, что говорили сделал и отправил
Вот

 

[antispy]

По карантину.
C:\WINDOWS\SYSTEM32\VIDEO.sys - Trojan-PSW.Win32.Agent.ljf C:\WINDOWS\system32\vmmreg32.dll - Trojan-Spy.Win32.Agent.fta

Пофиксите в HijackThis

O20 - AppInit_DLLs: vmmreg32.dll

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\Documents and Settings\Пользователь\Application Data\fltk.org
C:\WINDOWS\system32\drivers\sfc.sys
Driver::
sfc
Folder::
C:\Program Files\MyCentria
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet005\Services\VIDEO]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[николай]

Спасибо, всё сделал. На компе никаких проявлений больше не видно. Логи повторить не могу, уже забрали комп.