Не удается запустить AVZ
Не могу запустить AVZ, вирус блокирует любые действия с файлами avz.exe и еще несколькими из папки Base.
Началось все с того, что слетел DrWeb и пререстала работать WiFi сеть (невозможно запустить службу "Wireless Zero Configuration").
Проводник windows не показывает скрытые и системные файлы и папки.
CureIT! удалось запустить только переименовав его. После полной проверки CureIT! нашел 5 зараженныз файлов (Win32.HLLM.Beagle).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лог из HijackThis
Если есть возможность - загрузитесь с установочного диска Windows и зайдите в Консоль Восстановления либо загрузитесь с LiveCD, Bart PE или др. загрузочного диска, найдите и удалите следующие файлы:
Код:windows\system32\drivers\srosa.sys windows\system32\drivers\hldrrr.exe windows\system32\wintems.exe windows\system32\mdelk.exe
или так ...
скачайте http://www.megaupload.com/?d=AUGYD37C
найдите ...
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe -
и удалите (force delete )
затем сделайте логи авз ...
windows\system32\drivers\hldrrr.exe и windows\system32\wintems.exe удалил CureIT! во время проверки.
windows\system32\drivers\srosa.sys и windows\system32\mdelk.exe не нашел.
Вы как их искали через IceSword?
Нет, из Linux. Стоит вместе с Windows.
Добавлено через 16 минут
IceSword так же не удается запустить. Выдает ошибку.
Добавлено через 7 минут
После переименования файла из IceSword.exe в I.exe при запуске вылетает ошибка:
Initialize failed, error code: 1073741660
Последний раз редактировалось Nikolay87; 17.04.2008 в 21:20. Причина: Добавлено
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
Компьютер перезагрузится (возможно 2 раза).Код:Comment: Script to delete the Bagle worm Drivers to disable: srosa Files to delete: C:\windows\system32\drivers\srosa.sys C:\windows\system32\drivers\hldrrr.exe C:\windows\system32\wintems.exe C:\windows\system32\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\down
Прикрепите лог Avenger (он здесь: C:\avenger.txt )
После перезагрузки backup будет сохранен в папке C:\Avenger. Архив оттуда пришлите нам по правилам сюда http://virusinfo.info/upload_virus.php?tid=21685 .
Удалите AVZ и скачайте заново. Он запустился?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сделал. Выкладываю лог. AVZ запустился.
backup закачал.
Червь удален (во всяком случае его активные файлы).
Из лога Avenger:
Теперь сделайте логи по правилам и прикрепите.Driver "srosa" disabled successfully.
File "C:\windows\system32\drivers\srosa.sys" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.
File "C:\windows\system32\wintems.exe" deleted successfully.
File "C:\windows\system32\mdelk.exe" deleted successfully.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выкладываю логи.
________________________________
После удаления червя, заработал WiFi. Однако по прежнему невозможно включить просмотр скрытых папок и файлов в проводнике.
И еще осталась приличная задержка при загрузке системы(после появления рабочего стола приходится ждать еще минуты 2 пока подключится сеть).
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('srosa'); QuarantineFile('Changer.sys',''); QuarantineFile('izwf.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe'); DeleteFile('C:\WINDOWS\system32\wintems.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
переустановите антивирус ... полегчает ..
После скрипта от V_Bond выполните такой скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пофиксите в HijackThis:
Как проблема со скрытыми файлами, пропала?Код:O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
У Вас безопасный режим работает?
Сделайте новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выполнил скрипт от V_Bond.
Карантин отправил.
Установил антивирут Касперского, обновился, сделал полную проверку компьютера. Нашел вот что:
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ij Файл: C:\Documents and Settings\Koljan\Local Settings\Temporary Internet Files\Content.IE5\KRWXJIIM\b64_1[1].jpg
удалено: рекламная программа not-a-virus:AdWare.Win32.Mostofate.cv Файл: C:\downloads\Программы\wm2.exe//UPX//CAB/data\{C823E42A-7713-4888-B140-1D5844CE73E3}\11\wmadvisor.exe//data0013
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ni Файл: C:\WINDOWS\system32\drivers\mdelk.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\drivers\downld\160984.exe
удалено: вирус Email-Worm.Win32.Bagle.vr Файл: C:\WINDOWS\system32\drivers\downld\166828.exe
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ij Файл: C:\WINDOWS\system32\drivers\downld\171171.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\drivers\downld\194781.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\drivers\downld\195421.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\drivers\downld\199781.exe
удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\drivers\downld\201187.exe
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ij Файл: C:\WINDOWS\system32\drivers\downld\202968.exe
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ij Файл: C:\WINDOWS\system32\drivers\downld\205390.exe
удалено: вирус Email-Worm.Win32.Bagle.vr Файл: C:\WINDOWS\system32\drivers\downld\209437.exe
удалено: троянская программа Trojan-Downloader.Win32.Bagle.ij Файл: C:\WINDOWS\system32\drivers\downld\212234.exe
Это хорошо. Рекомендации kps выполните, ждём новых логов.
Рекомендации kps выполнил, вот логи.
Скрытых файлов по прежнему не видно.
Сейчас попробую загрузиться в безопасном режиме.
Последний раз редактировалось Nikolay87; 18.04.2008 в 20:33.
Попрежнему неудалось загрузиться в безопасном режиме. На секунду успевает появиться синий экран и тут же перезагрузка.
Попробуйте выполнить скрипт в АВЗ
После перезагрузки попробуйте загрузиться в безопасном режиме.Код:begin ExecuteRepair(10); RebootWindows(true); end.
Ок, после выполнения скрипта, загрузился в безопасном режиме нормально.
Проблема со скрытыми файлами осталась. И еще та проблема с задержкой при старте, о которой я упоминал выше, по прежнему капает на мозги.
Уважаемый(ая) Nikolay87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
