Не могу выполнить ни одно из Ваших требований. Ни AVZ, ни HijackThis не запускаются. Переименованный HijackThis начинает выполнение, но, по-моему, не доводит до конца и лог не создает. Ни одна из антивирусных программ также не запускается. On-line проверка (Kaspersky On-line scanner, Bitdefender) показывает наличие вирусов в системной области. Попытка зпустить CureIt блокируется: нажимаю Пуск и окно программы исчезает. Такое чувство, что какой-то вирус, зная названия антивирусов, просто бокирует их работу. Например, попытка запуска ранее установленных KIS7 и Spybot Search&Destroy дает сообщение "не является приложением Win", а попытка установки новой версии Spybot Search&Destroy - "не могу создать процесс". Что можно сделать?
P.S. В безопасном режиме система (у меня WinXP SP2) не запускается, восстановление также выполнить не могу. Повторная установка Win (в режиме восстановления) также ничего не дала.
Последний раз редактировалось kservice; 30.04.2008 в 11:13.
Причина: Дополнение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте переименованный IceSword (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Громадное спасибо, думаю, что направление правильное, но... "Instilized Failed..." Не получается. Файл srosa.sys дважды упоминался при появлении синего экрана, а wintems.exe Bitdefender определял как вирус.
Добавлено через 1 час 1 минуту
Вручную удаляю ключ реестра HKEY_CURRENT_USER\Software\FirstRRRun, перезапускаю, загрузка CPU становится нормальной (за последние сутки она все время 100%), но через некоторое время синий экран. Помогите, пожалуйста, а то проблемы идут по нарастающей. Может я неправильно запускаю hockey.pif?Пробовал и из командной строки, и из проводника.
Других ключей вручную с помощью regedit не обнаружил
Последний раз редактировалось kservice; 30.04.2008 в 12:41.
Причина: Добавлено
Запустите IceSword.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
Код:
Comment:
Script to delete the Bagle worm
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
c:\windows\system32\hidr.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
Переименованный Avenger
Если Avenger не запустится, тогда скачайте этот файл. запустите рег файл, разрешите внести изменния в реестр. перезагрузитесь в безопасном режиме. Если не успели с первого раза перезагрузиться, тогда снова запустите рег файл.
Выполните рекомендованный скрипт для Avenger.
Ну никак! Переименованный avenger на 2-3 сек запускается и все. А с файлом safe_boot_XPSP2Pro делаю так: двойной щелчок, предупреждение о внесении изменений в рееестр, нажимаю ОК, сообщение об успешном завершении, нажимаю RESET, F8, выбираю безопасный режим, начинается запуск, через некоторое время до входа в безопасный режим происходит рестарт. И все!!! Пробовал уже в DOS удалить папку Download и srosa.sys. Все бестолку. Ну что еще попробовать? Неужели не добьем эту заразу?
Запускается, но так быстро закрывается, что толком ничего не успеваю. При попытке вставке текста скрипта, полученного путем копированием из Вашего сообщения, вижу, что вставляется не то, что копировал. Вот так. Попытка записать текст скрипта, а затем его загрузить безрезультатна в силу ограниченности по времени (программа быстрей закрывается, чем я успеваю сделать это)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: