Показано с 1 по 17 из 17.

Вирус с модулем hldrrr.exe (заявка № 18953)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33

    Thumbs up Вирус с модулем hldrrr.exe

    Здравствуйте! Большая просьба помочь!
    Вообщем вирус скачал ослом, думал патч, открыл и.........
    Сначала вылетел NOD с надписью ошибка ядра, затем в файервол стала ломиться программа с названием hldrrr.exe. AVZ и другие антивирусы не запускаются, система виснит или синий экран, безопасный режим не работает, тоже синий экран. Загрузился с Live CD переименовал AVZ, запустился но базы не обновляет, проверку тоже не производит, пишет, что произошла ошибка инициализации.
    Информацию удалось собрать только с помощью hijackthis
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Загрузиться с Live CD удалить следующие файлы:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    запустить авз сделать логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    Загрузился с Live CD
    удалил
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    остального нет
    вирус востановился

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    AVPTool попробуйте скачать... если запустится - сделайте полную проверку

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    AVP проверить не получилось. На стадии инсталяции ошибки инициализации. С Live CD AVP что-то нашел, удалить не смог, проверял до синего экрана и перезагрузка.

    Добавлено через 31 минуту

    XoftSpySE пишет, что у меня Bagle IX Worm. Удаление в реестре строки software\firstrrrun ничего не дает.
    Последний раз редактировалось Alex392; 02.03.2008 в 00:21. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Попробуйте так:
    1) Отключите восстановление системы как написано в правилах (если еще не отключили).
    2) Очистите кеш интернета.
    3) Попробуйте удалить папку C:\WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
    4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли del файлы, перечисленные V_Bond. (Альтернатива - удалить их, загрузившись с LiveCD)
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    Выполнил скрипт

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\drivers\srosa. sys','');
    QuarantineFile('c:\windows\system32\wintems.exe',' ');
    QuarantineFile('c:\windows\system32\drivers\hldrrr .exe','');
    DeleteFile('c:\windows\system32\drivers\hldrrr.exe ');
    DeleteFile('c:\windows\system32\wintems.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys' );
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.

    Зараза вроде убита. Посмотрите, пожалуйста скрипты, может что осталось?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\pcmesh\aws\aws.exe','');
     DeleteService('srosa');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    прошу прощения выслал без пароля

    Добавлено через 23 минуты

    А как восстановить загрузку в безопасном режиме, после действия вируса такая способность пропала.
    Спасибо
    Последний раз редактировалось Alex392; 02.03.2008 в 02:45. Причина: Добавлено

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да, кто нужен в карантин и не попал. Поищите aws.exe при помощи АВЗ Сервис-поиск файлов на диске и пришлите согласно приложению 2 правил.
    Сделайте новый комплект логов, посмотрим ушли враги или нет.

    Добавлено через 2 минуты

    Цитата Сообщение от Alex392 Посмотреть сообщение
    А как восстановить загрузку в безопасном режиме, после действия вируса такая способность пропала.
    Спасибо
    В АВЗ файл--восстановление системы, Выбираете 10.Восстановление настроек загрузки в SafeMode ставите галочку, внизу нажимаете кнопку Выполнить отмеченные операции.
    Последний раз редактировалось wise-wistful; 02.03.2008 в 02:53. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    aws.exe не нашел.
    Это как-то к делу относится

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JNLPFile\Shell \Open\Command\ = "C:\Program Files\Java\jre1.6.0_03\bin\javaws.exe" "%1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\javaws.exe\ =
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\javaws.exe\ = C:\Program Files\Java\jre1.6.0_03\bin\javaws.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}\DisplayIcon = C:\Program Files\Java\jre1.6.0_03\\bin\javaws.exe
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\User Trusted External Applications\"C:\Program Files\Java\jre1.6.0_03\bin\javaws.exe" =
    HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application/x-java-jnlp-file = "C:\Program Files\Java\jre1.6.0_03\bin\javaws.exe"
    -- Поиск в HKEY_CLASSES_ROOT --
    HKEY_CLASSES_ROOT\JNLPFile\Shell\Open\Command\ = "C:\Program Files\Java\jre1.6.0_03\bin\javaws.exe" "%1"

    Добавлено через 1 минуту

    комплект логов вышлю позже, уезжаю
    Последний раз редактировалось Alex392; 02.03.2008 в 08:55. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    это к делу не относится ....
    пофиксите
    Код:
    O4 - HKCU\..\Run: [PCMesh Anonymous Web Surfing] C:\Program Files\pcmesh\aws\aws.exe

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    Спасибо за помощь!
    Безопасный режим восстановился, вроде обошлось без жертв.
    Высылаю логи.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Все чисто, проблемы решены?

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    11
    Вес репутации
    33
    Да, спасибо большое за помощь.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,563
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Alex392, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус hldrrr.exe
      От Sam33 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:24
    2. Installator с hldrrr / srosa
      От psw в разделе Сетевые атаки
      Ответов: 11
      Последнее сообщение: 27.02.2008, 16:41
    3. Вирус с модулем hldrrr.exe
      От Featus в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.02.2008, 22:40
    4. Ответов: 3
      Последнее сообщение: 17.01.2008, 21:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01116 seconds with 24 queries