hldrrr.exe, srosa.sys, Megadrv3, wintems.exe и понятный результат
Обстановка:
На пункте правил общения:
4. Распакуйте из архива и поместите в новую отдельную папку.
* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.
Происходит
"Ошибка в ходе автоматического обновления - Загруженный файл поврежден - neurald.avz"
Открываемый на пункте 8
8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку
напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!"
virusinfo.info".
набор возможностей — пустой
10. Тоже пустой экран без возможности выбрать скрипт.
11. Пункт
Делаю и получаю сообщение:
---------------------------
HijackThis
---------------------------
Please help us improve HijackThis by reporting this errorClick 'Yes' to submitError
Details: An unexpected error has occurred at procedure:
Находящийся (судя по промелькивающим сообщениям в статус баре) в памяти hldrrr.exe
вирусятиной не считается и "вирусов в памяти" нет
При полной проверке CureITом во время прохождения по диску С: система в какой-то момент
вываливается и следует загрузка операционки с нуля.
Безопасного режима загрузки больше нет, либо система грузится полноценно, либо во время
безопасной загрузки вываливается в новую попытку загрузки с самого нуля.
В логе встроенного аппаратного фаервола в роутере видно, что установленная дрянь
постоянно пытается достучатся до гуглового почтового сервера.
AVZ в диспечере процессов показывает руткит hldrrr.exe
Сделать LiveCD и загрузится с него не получается, софтина для изготовления такового
pebuilder - не полностью распаковывается из своего архива, а именно убиваются exe файлы
во время распаковки. Готового загрузочного диска, к сожалению нет
И вообще дивидиром больше не хочет работать с сидюками. "Диска нет". Хотя Нирой видно что
на диске есть сессия и все дела, для проводника - диск в приводе отсутствует или в Raw
формате.
Spybot - Search & Destroy - больше не работает (не сам, не его резидент в трее TeaTimer),
так же пробовал выкачать, поставить и воспользоваться NOD32 и Каспера - не удаётся.
***
Вот такие война и манёвры.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Увы
А попытка сделать его этой софтиной http://www.nu2.nu/pebuilder/
неудачна. Распаковка архива с софтиной не проходит, вирусятина видимо убивает exe файлы во время распаковки.
Рекомендованный setup_7.0.0.180_17.02.2008_21-08.exe скачал, как файл с неизвестным именем Касмегаубица.exe, поставил в каталог с неговорящим именем С:\VT. Запустил. Работает (в данный момент включительно)
Скачал его, как файл с названием
АйВорт.zip
переименовал тотал коммандером непосредственно внутри архива в произвольное имя Меч.ехе. Распаковал (без файла справки, а то она IceSword называется, дабы не спугнуть названием) запустил.
Им удалось прикончить процесс hldrrr.exe. (удалил так же файл wintems.exe этой софтиной)
Процесса hldrrr.exe теперь нет ни в этом Мече ни в AVZ в его диспечере процессов, в том числе и при обновлении списка процессов
Megadrv3 в диспетчере среди скрытых устройств - сделал ему анинстал, на предложенную перезагрузку пока не уходил.
В логе аппаратного фаервола роутера видно, что исходившая от меня бомбардировка почтовых серверов в интернете больше не пытается прорваться.
Найденная на данным момент вирусятина размещается в картинках в кэше IE
и в одной из стоявших софтин.
Неработавшие до сих пор антивиры (их я ставил уже после поражения своей системы описываемой вирусятиной) - так и не заработали. Видимо требуется и перезагрузка и их переустановка. Обновление AVZ тоже пока не пошло, с ошибкой указанной в первом сообщении вываливается. Возможно тоже нужна перезагрузка ОС, которой пока не делал.
Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\3TO4GXSC\b64_31[1].jpg
удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_1[1].jpg
удалено: троянская программа Trojan.Win32.Pakes.bwy Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_2[1].jpg
удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_1[1].jpg
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_31[1].jpg
События
-------
Время Имя Статус Причина
----- --- ------ -------
17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe не вылечен обработка отложена пользователем
17.02.2008 22:45:25 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:46:23 Объект автозапуска: HKEY_USERS\S-1-5-21-2436396261-502557554-2746150336-500\Software\Microsoft\Windows\CurrentVersion\Run\ QDictionary вылечен троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
17.02.2008 22:46:33 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe удален
17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared обнаружено: новая угроза 'Hidden.Object' (модификация)
17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared не вылечен обработка отложена пользователем
Параметры
---------
Параметр Значение
-------- --------
Уровень безопасности Рекомендуемый
Действие Запросить по окончании проверки
Режим запуска Вручную
Типы файлов Проверять все файлы
Проверка только новых и измененных файлов Нет
Проверять архивы все
Проверка вложенных OLE-объектов все
Не проверять архивы размером более Нет
Пропустить файл, если его проверка длится более Нет
Проверка файлов почтовых форматов Нет
Проверка архивов, защищенных паролем Нет
Использовать технологию iChecker Нет
Использовать технологию iSwift Нет
Показывать обнаруженные опасные объекты на закладке "Обнаружено" Да
Поиск руткитов (rootkit) Да
Расширенный поиск руткитов (rootkit) Нет
Использовать эвристический анализатор Да
Уровень эвристического анализа 3
Quarantine
----------
Статус Объект Размер Добавлен
------ ------ ------ --------
Backup
------
Статус Объект Размер
------ ------ ------
Заражен: троянская программа Trojan-Downloader.Win32.Bagle.jv f:\software\word processors\qdictionary\1.6\qdictionary.exe 698.8 КБ
Последний раз редактировалось Иван А. Ильин; 18.02.2008 в 00:44.
Ключи реестра
в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Name german.exe Value C:\WIN_2003\system32\wintems.exe
и hldrrr.exe
Утилита autoruns (из Sysinternals Suite) показывает srosa в drivers для всех зарегистрированных на машине пользователей. Прибил её для всех "кроме себя", из под активного пользователя она не выбивается. Надеюсь после перезагрузки её может и не будет уже.
Пока так.
*****
Завершилось сканирование.
В дополнении к найденному ранее нашлось:
"удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: X:\User Temp\_tc\Windows XP Video Decoder Checkup Utility 1.0.0.1.exe"
Вот отсюда видимо все мои беды и выросли, из этого файла, запускал такой днями, был грех…
Ухожу на перезагрузку.
Последний раз редактировалось Иван А. Ильин; 18.02.2008 в 06:35.
Open - это мой всегда намеренно открывающийся документ "походу дела", куда всё текущее записывается. Все урлы и айпи в нём - это всё моё, не вирус писал.
***
Не вижу что-то настройки, а как сделать что бы Касперский Вирус Ремовал Тул перестал запускаться каждую перезагрузку?
Результат загрузки
Файл сохранён как 080218_044759_avptool_syscheck_47b9625f82650.zip
Размер файла 159111
MD5 a1466662e2f715a85585c5e38a0871ec
Файл закачан, спасибо!
Тут правда случилось неудобство, не знаю, сильно страшное?
После этого скрипта — вдруг взяла и пропала вся сетевая деятельность. Вплоть до невозможности пинговать внутренние адреса типа 192.168.1.1 и выше.
Однако вернул сетевую деятельность.
При загрузке система показала что один из драйверов (или сервисов? не помню) — не загрузился, смотрите, мол, журнал событий.
В котором, соответственно в одной из крайних записей я прочёл:
The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer. For detailed troubleshooting information, review the events in the Security event log.
Ну так и сделал. Выставил сервису IPSec - Disabled и перезагрузился.
Сеть вернулась.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: