Не грузится AVZ и HijackThis. XoftSpy находит Bagle Trojan. Что делать, подскажите.
Не грузится AVZ и HijackThis. XoftSpy находит Bagle Trojan. Что делать, подскажите.
Загрузиться с LiveCD, Bart PE или др. загрузочного диска, либо в консоль восстановления, разыскать и удалить следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
I am not young enough to know everything...
Посмотрел сначало проводником, из всех есть только mdelk.exe. Можно ли его удалять из под Винды.
Добавлено через 5 часов 25 минут
Удалил mdelk из под консоли восстановления. Ничего не изменилось
Последний раз редактировалось Andran; 19.03.2008 в 10:12. Причина: Добавлено
удалить нужно все ...
Проводником их не видать. Набирать в консоли всёравно?
проводником их удалить и не удастся ... долько консоль или LiveCD
Под Виндоус не пытайтесь удалить, удаляйте из Консоли все вышеперечисленные файлы. По поводу того, что кроме mdelk.exe из Проводника других файлов не видно, это не удивительно, т.к. они скрыты с помощью руткит-технологий. В общем удаляйте вышеперечисленные файлы и потом попробуйте запустить AVZ и сделать логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Из под консоли все набрал и удалил. К сожелению AVZ не запускается, пишется, что не является приложением WIN32
А АВЗ переименовывали? avz.exe в что-то типа test.exe, game.pif, program.com.
Попробовал prn.exe, prn.com, prn.bat. Пишет, что файл с указанным именем существует. К слову вирус после загрузки отключает Брэндмауэр Windows, NAV и др. службы.
Попробуйте так:
1) Отключите восстановление системы как написано в правилах (если еще не отключили).
2) Очистите кеш интернета.
3) Попробуйте удалить папку WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли файлы, указанные Bratez.
AVZ удалите и скачайте снова, и вот только потом попробуйте запустить AVZ и сделать логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Всё сделал и переустановил
Последний раз редактировалось Andran; 10.08.2008 в 02:33.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\wintems.exe'); QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe',''); QuarantineFile('c:\windows\system32\wintems.exe',''); DeleteFile('c:\windows\system32\wintems.exe'); DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20072
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
Всё сделал, карантин по ссылке выслал. В Hijackthis указанные строки не нашёл.
Будем надется, что АВЗ хорошо отработала и удалила. Давайте новый комплект логов.
Логи выслал. Брэндмауэр Windows запустить вручную?
Последний раз редактировалось Andran; 10.08.2008 в 02:29.
Н-да. Выполните в АВЗ:
Загрузите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('srosa', 4); StopService('srosa'); QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); BC_ImportAll; BC_DeleteSvc('srosa'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи
Логи выслал. С карантином, по-моему, не получилось, был пуст.
Последний раз редактировалось Andran; 10.08.2008 в 02:29.
Как самочувствие системы?
Только что проверил XoftSpy, нашёл Bagle IX Form. Ещё не удалял.
Уважаемый(ая) Andran, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.