Lexander Опубликовано 13 августа, 2008 Жалоба Поделиться Опубликовано 13 августа, 2008 Подцепил какойто вирус. В результатах поиска Яндекса все ссылки заменяются на search.thebestwebsearch.net/search... Касперский при старте не запускается. Восстановление системы не работает ни в обычном ни в безопасном режиме. iexplore.exe постоянно пытается записать в реестр информацию из файла bootcats.sy который создается на рабочем столе. Копировать и вставлять информацию можно только через Ctrl-c и Ctrl-v или контекстное меню, специальные кнопки на клавиатуре "копировать" и "вставить" не работают. В панели задач пропали буковки RU и EN языковой панели. В надстройках IE надстройка windows update monitor bar, которая ссылается на vmreg32.dll не отключается. Касперский видит только скрытый процесс в файле vmmreg32.dll, CureIT ничего не находит. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Lexander Опубликовано 13 августа, 2008 Автор Жалоба Поделиться Опубликовано 13 августа, 2008 Вот сами логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 августа, 2008 Жалоба Поделиться Опубликовано 13 августа, 2008 (изменено) Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe RunSys1.exeO2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exeO20 - Winlogon Notify: reset5 - reset5.dll (file missing) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);SetServiceStart('Rsvormgrndstr', 4);QuarantineFile('c:\huadio.tmp','');QuarantineFile('C:\WINDOWS\system32\Drivers\ET5Drv.sys','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('Explorer.exe RunSys1.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');QuarantineFile('C:\WINDOWS\system32\atixdbxx.sys','');QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');QuarantineFile('Rsvormgrndstr.sys','');DeleteFile('Rsvormgrndstr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteFile('RunSys1.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\Program Files\DrWeb for Windows\Infected.!!!\ErrorSafeFreeInstall_ru[1].cab');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('VIDEO');DeleteService('Rsvormgrndstr');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(16);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Заметил остатки: BitDefender10 и Outpost Firewall Это вы вносили O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? O15 - Trusted Zone: http://go.1ps.ruO15 - Trusted Zone: http://*.aadvark.ruO15 - Trusted Zone: http://*.autoplex.ruO15 - Trusted Zone: http://*.begun.ruO15 - Trusted Zone: http://*.capitaller.ruO15 - Trusted Zone: http://*.autodealer.com.ruO15 - Trusted Zone: http://*.depositfiles.comO15 - Trusted Zone: http://*.enum.ruO15 - Trusted Zone: http://*.exchanger.ruO15 - Trusted Zone: http://*.finam.ruO15 - Trusted Zone: http://*.gismeteo.ruO15 - Trusted Zone: http://*.goodbody.ruO15 - Trusted Zone: http://*.guarantee.ruO15 - Trusted Zone: http://*.hc.ruO15 - Trusted Zone: http://*.hh.ruO15 - Trusted Zone: http://*.jetix.roO15 - Trusted Zone: http://*.jetix.ruO15 - Trusted Zone: http://*.jetixcee.comO15 - Trusted Zone: http://*.jzweb.ruO15 - Trusted Zone: http://*.krasotuli.ruO15 - Trusted Zone: http://*.mail.ruO15 - Trusted Zone: http://*.majordomo.ruO15 - Trusted Zone: http://*.massfon.ruO15 - Trusted Zone: http://*.meditex.ruO15 - Trusted Zone: http://*.megastock.comO15 - Trusted Zone: http://*.megastock.ruO15 - Trusted Zone: http://*.mixmarket.bizO15 - Trusted Zone: http://*.odnoklassniki.ruO15 - Trusted Zone: http://*.oplata.infoO15 - Trusted Zone: http://*.paymer.comO15 - Trusted Zone: http://*.phero.ruO15 - Trusted Zone: http://*.pheromagic.ruO15 - Trusted Zone: http://*.piterstyle.ruO15 - Trusted Zone: http://*.pochta.ruO15 - Trusted Zone: http://*.rambler.ruO15 - Trusted Zone: http://*.rapidshare.comO15 - Trusted Zone: http://*.roboxchange.comO15 - Trusted Zone: http://*.sape.ruO15 - Trusted Zone: http://*.softactivation.comO15 - Trusted Zone: http://*.telepat.ruO15 - Trusted Zone: http://*.webmoney.ruO15 - Trusted Zone: http://*.webnames.ruO15 - Trusted Zone: http://*.wmkeeper.comO15 - Trusted Zone: http://*.wmtransfer.comO15 - Trusted Zone: http://*.woweb.ruO15 - Trusted Zone: http://*.yandex.ruO15 - Trusted Zone: http://*.zdoroway.ru Если нет, то тоже пофиксить. Изменено 13 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.