• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена поймал вирус Video.sys, winhelp32.exe

  • Автор темы николай
  • Дата начала
Статус
В этой теме нельзя размещать новые ответы.
Н

николай

#1
Помогите. Антивирус не справляется:confused: :eek:. Может и без него что-то есть. Я новичёк и про вирусы антивирусы и что со всем этим делать не разбираюсь. Извиняйте. если что не так.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#2
николай, приветствую вас на нашем форуме.

Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\afwcore.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hotcore3.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\55109486.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteService('VIDEO');
DeleteService('is-U8V3Gdrv');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


2.Пофиксить в HijackThis следующие строчки
Код:
O20 - AppInit_DLLs: vmmreg32.dll
Повторите логи и сделайте это:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#4
По карантину.
C:\WINDOWS\SYSTEM32\VIDEO.sys - Trojan-PSW.Win32.Agent.ljf C:\WINDOWS\system32\vmmreg32.dll - Trojan-Spy.Win32.Agent.fta

Пофиксите в HijackThis
Код:
O20 - AppInit_DLLs: vmmreg32.dll
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:
File::
C:\Documents and Settings\Пользователь\Application Data\fltk.org
C:\WINDOWS\system32\drivers\sfc.sys
Driver::
sfc
Folder::
C:\Program Files\MyCentria
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet005\Services\VIDEO]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.
 
Н

николай

#5
Спасибо, всё сделал. На компе никаких проявлений больше не видно. Логи повторить не могу, уже забрали комп.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу