Показано с 1 по 18 из 18.

Достали вири поганыя! (заявка № 25249)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0

    Question Достали вири поганыя!

    На прошлой недели я обнаружил деятельность вирей!
    Управицца сам решил, бо, чую, устал тут всех.....

    В другой винде CureIt 'om просканил проблемный хард, вроде всех задавил.
    А вчера опять началось.... ТОрмоза жуткие и пр.
    Я в другую винду, Cureit'om и AVT проверку сделал, отчёт выкладываю... Там куча всего, crosa, hldtrr и сотоварищи....в сборе.

    По объёму он не прошел здесь, хотя я жал на максимуме, вот: http://depositfiles.com/files/6178209 1.2 мб

    Логи выкласть не могу! В больной винде ничего не запускается, на 3 секунды мелькнут и вырубаются.
    После 33й попытки avz запустился, но развел руками, стандартных скриптов не имею!


    Да, новую винду поставил, с Майкрософта скаченную, там и юзер ущербного сделал, да вот беда выделенка там не настраивается!

    Ммм!?

    Добавлено через 1 час 51 минуту

    Я понимаю, достал ужо всех со своими вирями....

    Но я ж не виноватыя! Они сами приходят, сцуко!!!


    Outpost поставить!? он от них будет защищать или тоже прохлопает!?

    Добавлено через 49 минут

    Дайте ссылку на avz, который сможет запуститься!
    Там 1 екзешник....
    Последний раз редактировалось Rick1; 24.06.2008 в 16:12. Причина: Добавлено
    Плавайте поездами Аэрофлота!

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Ммм?

    Добавлено через 2 часа 7 минут

    Пыхтит avz!

    Добавлено через 2 часа 17 минут

    Я уходил в маг, в avz ,было 1.5 часа. Вернулся через час опять 1.5 часа!

    Щас прошло 2 часа, а на нем в индикаторе щас 1.25 часа!


    Дааааа, тормоза виревые и на avz действуют.

    Добавлено через 1 час 36 минут

    AVZ: 81% осталось 01,11.11........

    Тормозит всё жутко..... ничего не могу делать... а надо!

    Кто-нить знает, кто сделал эти вири!?

    Дайте мне его! Дайте! и оставьте наедине........

    Сидел же, гад, придумывал вирус.......
    Ух, как бы я его..... руками, руками, а потом ногами (в гриндерсах!).



    Можно как-нить ускорить AVZ?
    А тож нам спать пора, мне, блонде и компу!
    Последний раз редактировалось Rick1; 24.06.2008 в 22:22. Причина: Добавлено
    Плавайте поездами Аэрофлота!

  5. #4
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    ЛОГИ!!!!

    №3 делался почти полсуток! Прошу внести в анналы истории!


    HiJack не запускается! Я уж и мудрил с ринеймом, без толку....

    Или?
    Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
    Плавайте поездами Аэрофлота!

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    КАК ХАЙджек запустить!?

    Ммм!?

    Добавлено через 55 минут

    Ну помогите же!

    У меня работы море, а я ничего не могу сделать, висит всё, сцуко

    Лог HiJack'a нужен?
    Знаю, но не делается.......


    Ммм?
    Последний раз редактировалось Rick1; 25.06.2008 в 11:18. Причина: Добавлено
    Плавайте поездами Аэрофлота!

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('c:\documents and settings\admin\application data\m\flec006.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('c:\documents and settings\admin\application data\m\flec006.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ прикрепите их к сообщению+пришлите карантин по правилам и еще вопрос где вы постоянно цепляете Bagle?креки любите?

  8. #7
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Спасибо огромное, Гриша!

    Я уж думал не дождусь скрипта!

    Отписываю вам всю свою недвижимость!

    Карантин закачался, а вот логи: сервер перегружен...

    Вот они: http://www.filehoster.ru/files/bc6753
    Плавайте поездами Аэрофлота!

  9. #8
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Тормоза уменьшились % на 70-80, и глюки тоже остались....

    Мож мы не доконца всех порешили!?

    Cureit в темпе инетом нашел 4 Beagle/

    Outpost oщасбуду ставить....


    Лог HJ приаттачиваю..


    ммм?
    Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
    Плавайте поездами Аэрофлота!

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('c:\documents and settings\admin\application data\m\flec006.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    ExecuteRepair(10);    
    RebootWindows(true);
    end.
    Прикрепите к сообщению логи после скрипта+логи по правилам.

  11. #10
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Восстановление включать можно?
    Плавайте поездами Аэрофлота!

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Сначала логи на бочку.

  13. #12
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Да вот они все!

    HJ тока не влез, или не надо?

    Карантин тоже выклал.
    Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
    Плавайте поездами Аэрофлота!

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Багл ушел,безопасный режим,антивирусные средства работают?Если да,проведите полную проверку свежим куритом...

  15. #14
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Отчёт:

    Безопаска работает, правда ждать её пришлось мин 5....

    А при каждой загрузке всплывает это загрузочное меню, см фотку.


    Ну это всё ладно!
    ТОРМОЗА!
    Бесят даже такого уровновешенного, как я!

    Виснут все проги! ПО несколько минут надо ждать, пока отвиснут.

    Это сообщение пишу мин. 40....

    Можно как-нить облегчить ситуацию!!!???
    Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
    Плавайте поездами Аэрофлота!

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    СПАСИТЕ!

    Тормоза - УЖОС!!!

    ВИСИТ ВСЁ! Все проги виснут, надо по несколько минут ждать, пока отвиснут!

    Работать невозможно((

    лог Hijackisthis'a приаттачиваю.

    HELP!!!!!!!
    Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
    Плавайте поездами Аэрофлота!

  17. #16
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Ммммм !?

    Добавлено через 2 часа 34 минуты

    Тормоза!!!

    Будь я блондинкой, я б пообещала бы отдацца за помощь!

    Но я не она.... и как соблазнить хелпера на помощь, не знаю.....

    Добавлено через 1 час 50 минут

    Изза Outpost'a возможны такие тормоза!?

    КАК проверить, что это он или не он!?
    Последний раз редактировалось Rick1; 27.06.2008 в 15:06. Причина: Добавлено
    Плавайте поездами Аэрофлота!

  18. #17
    Junior Member Репутация
    Регистрация
    05.05.2007
    Сообщений
    412
    Вес репутации
    0
    Cнёс вчера Outpost.......
    и такое счастье наступило...!

    Всем спасибо!

    Напоследок, риторический вопрос:
    Почему рикам нельзя петь дифирамбы женским щёчкам, а всяким поросёнкам, можно!?
    Плавайте поездами Аэрофлота!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\m\\flec006.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
      2. c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.so (DrWEB: Win32.HLLM.Beagle.219)
      3. c:\\windows\\system32\\drivers\\mdelk.exe - Trojan-Downloader.Win32.Bagle.so (DrWEB: Win32.HLLM.Beagle.219)
      4. c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.mm (DrWEB: Win32.HLLM.Beagle.219)
      5. c:\\windows\\system32\\mdelk.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
      6. c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)


  • Уважаемый(ая) Rick1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Есть подозрение на вири...
      От BaXXter63 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.10.2010, 21:36
    2. Неисчезающие вири
      От fedoseew в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:48
    3. Неучтожимые вири Рика!
      От Rick1 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 06:19
    4. авз`том чую - вири есть
      От MasterAlexey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2008, 11:33
    5. Пипец какие хитропопые вири!
      От Rick1 в разделе Помогите!
      Ответов: 42
      Последнее сообщение: 07.06.2008, 17:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00519 seconds with 21 queries