Показано с 1 по 14 из 14.

Загрузка CPU 100%, деактивация антивируса, hldrrr.exe, mdelk.exe, srosa.sys в Windows\system32\drivers (заявка № 28735)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57

    Thumbs up Загрузка CPU 100%, деактивация антивируса, hldrrr.exe, mdelk.exe, srosa.sys в Windows\system32\drivers

    Добрый вечер, помогите пожалуйста. Запустил *.exe программы скачанной "Ослом", и вот что получилось: секунд 10 не было никакой реакции, потом компьютер начал перезагрузку и найдя все диски сообщил "CPU over temperature error" "Нажмите F1 для продолжения". Поднялся с выключенным Symantec-ом (АнтиВ), процесс hldrr.exe загрузил CPU на 100%. С другого компа полазил в Сети, поискал "что это",вразумительного мало, убил процесс; включил антивирус, вытер из Windows\system32\drivers hldrrr.exe и mdelk.exe, почистил реестр (поиск по hldrrr и mdelk) перезагрузился. Антивирус нашел srosa.sys в Windows\system32\drivers, сообщил что вытер. После этого я сделал все описанное в Правилах с 1 по 14 пункт. Что интерестно, после всего этого ZoneAlarm при попытке запуска занимается инициализацией но безуспешно)). Спасибо за потраченное время. Логи прилагаются.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('srosa');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    фаерволл предется переустановить ....
    логи повторите ...

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57

    Спасибо.

    После выполнения скрипта и перезагрузки hldrrr.exe появился снова, файрвол ожил.
    Вопрос : правильно ли делаю. что после проверки HiJackThis, не лечу найденное им?
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\nideiect.com','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\fwdrv.sys','');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\nideiect.com');
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    выполните пункт 2 правил
    логи повторите ...
    приложите
    B_d.txt и boot_clr_B_d.log
    Последний раз редактировалось V_Bond; 23.08.2008 в 14:55.

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57
    Все сделал. Вот что получилось: после выполнения скрипта и перезагрузки, Symantec нашел в Windows\system32\drivers файл vde4odky.sys и поместил его в карантин. Dr.Web ничего не нашел. Файла boot_clr_B_d.log не обнаружил, только B_d.txt.... Логи прилагаются. Извиняюсь за большие перерывы между отчетами, но чаще нет возможности....
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    vde4odky.sys драйвер авз - известный фолс симантека , который вы почему-то не отключили ...
    C:\fwdrv.sys пришлите согласно приложения 2 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57
    Симантек на время выполнения скриптов был выключен. Включил чтобы проверить почту. Файл прислать не могу, АВЗ пишет : карантин с использование прямого чтения - ошибка.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните пункт 2 правил (полная проверка CureIt!).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57
    Сделано. Нашел только win32hllw Autoruner.1020 в папке карантина АВЗ.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     DeleteService('fwdrv.sys');
     DeleteFile('C:\fwdrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57
    Сделал...
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    В логах не увидел плохого. Какие-то проблемы остались? Безопасный режим работает?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    7
    Вес репутации
    57
    А ведь действительно..... все работает!)))))) И безопасный режим))))) Огромное спасибо за помощь!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.yt (DrWEB: Trojan.DownLoad.3749)
      2. c:\\windows\\system32\\drivers\\mdelk.exe - Trojan-Downloader.Win32.Bagle.yt (DrWEB: Trojan.DownLoad.3749)
      3. f:\\autorun.inf - Trojan-GameThief.Win32.Nilage.bvl (DrWEB: Win32.HLLW.Autoruner.1020)
      4. f:\\nideiect.com - Trojan-Downloader.Win32.Bagle.yt (DrWEB: Trojan.DownLoad.3749)


  • Уважаемый(ая) R.V., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. hldrrr.exe, srosa.sys, Megadrv3, wintems.exe и понятный результат
      От Иван А. Ильин в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 03:59
    2. hi, beagle is causing me hell (srosa, hldrrr, mdelk)
      От istola в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 05.12.2008, 10:13
    3. hi, beagle is causing me hell (srosa, hldrrr, mdelk)
      От istola в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 05.12.2008, 08:32
    4. Installator с hldrrr / srosa
      От psw в разделе Сетевые атаки
      Ответов: 11
      Последнее сообщение: 27.02.2008, 16:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00458 seconds with 20 queries