-
Junior Member
- Вес репутации
- 0
Достали вири поганыя!
На прошлой недели я обнаружил деятельность вирей!
Управицца сам решил, бо, чую, устал тут всех.....
В другой винде CureIt 'om просканил проблемный хард, вроде всех задавил.
А вчера опять началось.... ТОрмоза жуткие и пр.
Я в другую винду, Cureit'om и AVT проверку сделал, отчёт выкладываю... Там куча всего, crosa, hldtrr и сотоварищи....в сборе.
По объёму он не прошел здесь, хотя я жал на максимуме, вот: http://depositfiles.com/files/6178209 1.2 мб
Логи выкласть не могу! В больной винде ничего не запускается, на 3 секунды мелькнут и вырубаются.
После 33й попытки avz запустился, но развел руками, стандартных скриптов не имею!
Да, новую винду поставил, с Майкрософта скаченную, там и юзер ущербного сделал, да вот беда выделенка там не настраивается!
Ммм!?
Добавлено через 1 час 51 минуту
Я понимаю, достал ужо всех со своими вирями....
Но я ж не виноватыя! Они сами приходят, сцуко!!!
Outpost поставить!? он от них будет защищать или тоже прохлопает!?
Добавлено через 49 минут
Дайте ссылку на avz, который сможет запуститься!
Там 1 екзешник....
Последний раз редактировалось Rick1; 24.06.2008 в 16:12.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 0
Ммм?
Добавлено через 2 часа 7 минут
Пыхтит avz!
Добавлено через 2 часа 17 минут
Я уходил в маг, в avz ,было 1.5 часа. Вернулся через час опять 1.5 часа!
Щас прошло 2 часа, а на нем в индикаторе щас 1.25 часа!
Дааааа, тормоза виревые и на avz действуют.
Добавлено через 1 час 36 минут
AVZ: 81% осталось 01,11.11........
Тормозит всё жутко..... ничего не могу делать... а надо!
Кто-нить знает, кто сделал эти вири!?
Дайте мне его! Дайте! и оставьте наедине........
Сидел же, гад, придумывал вирус.......
Ух, как бы я его..... руками, руками, а потом ногами (в гриндерсах!).
Можно как-нить ускорить AVZ?
А тож нам спать пора, мне, блонде и компу!
Последний раз редактировалось Rick1; 24.06.2008 в 22:22.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
ЛОГИ!!!!
№3 делался почти полсуток! Прошу внести в анналы истории!
HiJack не запускается! Я уж и мудрил с ринеймом, без толку....
Или?
Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
КАК ХАЙджек запустить!?
Ммм!?
Добавлено через 55 минут
Ну помогите же!
У меня работы море, а я ничего не могу сделать, висит всё, сцуко
Лог HiJack'a нужен?
Знаю, но не делается.......
Ммм?
Последний раз редактировалось Rick1; 25.06.2008 в 11:18.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Отключите восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('c:\documents and settings\admin\application data\m\flec006.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
DeleteFile('c:\documents and settings\admin\application data\m\flec006.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ прикрепите их к сообщению+пришлите карантин по правилам и еще вопрос где вы постоянно цепляете Bagle?креки любите?
-
-
Junior Member
- Вес репутации
- 0
Спасибо огромное, Гриша!
Я уж думал не дождусь скрипта!
Отписываю вам всю свою недвижимость!
Карантин закачался, а вот логи: сервер перегружен...
Вот они: http://www.filehoster.ru/files/bc6753
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
Тормоза уменьшились % на 70-80, и глюки тоже остались....
Мож мы не доконца всех порешили!?
Cureit в темпе инетом нашел 4 Beagle/
Outpost oщасбуду ставить....
Лог HJ приаттачиваю..
ммм?
Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
Плавайте поездами Аэрофлота!
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
DeleteFile('c:\documents and settings\admin\application data\m\flec006.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(10);
RebootWindows(true);
end.
Прикрепите к сообщению логи после скрипта+логи по правилам.
-
-
Junior Member
- Вес репутации
- 0
Восстановление включать можно?
Плавайте поездами Аэрофлота!
-
-
-
Junior Member
- Вес репутации
- 0
Да вот они все!
HJ тока не влез, или не надо?
Карантин тоже выклал.
Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
Плавайте поездами Аэрофлота!
-
Багл ушел,безопасный режим,антивирусные средства работают?Если да,проведите полную проверку свежим куритом...
-
-
Junior Member
- Вес репутации
- 0
Отчёт:
Безопаска работает, правда ждать её пришлось мин 5....
А при каждой загрузке всплывает это загрузочное меню, см фотку.
Ну это всё ладно!
ТОРМОЗА!
Бесят даже такого уровновешенного, как я!
Виснут все проги! ПО несколько минут надо ждать, пока отвиснут.
Это сообщение пишу мин. 40....
Можно как-нить облегчить ситуацию!!!???
Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
СПАСИТЕ!
Тормоза - УЖОС!!!
ВИСИТ ВСЁ! Все проги виснут, надо по несколько минут ждать, пока отвиснут!
Работать невозможно((
лог Hijackisthis'a приаттачиваю.
HELP!!!!!!!
Последний раз редактировалось Rick1; 20.11.2009 в 21:52.
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
Ммммм !?
Добавлено через 2 часа 34 минуты
Тормоза!!!
Будь я блондинкой, я б пообещала бы отдацца за помощь!
Но я не она.... и как соблазнить хелпера на помощь, не знаю.....
Добавлено через 1 час 50 минут
Изза Outpost'a возможны такие тормоза!?
КАК проверить, что это он или не он!?
Последний раз редактировалось Rick1; 27.06.2008 в 15:06.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
Cнёс вчера Outpost.......
и такое счастье наступило...!
Всем спасибо!
Напоследок, риторический вопрос:
Почему рикам нельзя петь дифирамбы женским щёчкам, а всяким поросёнкам, можно!?
Плавайте поездами Аэрофлота!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\m\\flec006.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.so (DrWEB: Win32.HLLM.Beagle.219)
- c:\\windows\\system32\\drivers\\mdelk.exe - Trojan-Downloader.Win32.Bagle.so (DrWEB: Win32.HLLM.Beagle.219)
- c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.mm (DrWEB: Win32.HLLM.Beagle.219)
- c:\\windows\\system32\\mdelk.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
-