Win32.HLLP.Beagle

Всех приветствую!

Второй день не могу избавиться от этой заразы.
Правила уже наверное знаю наизусть :), только толку нет. Потому, что запустить сканирование AVZ или выполнение скрипта не выходит (при обычной загрузки WinXP) - "Cannot open file E:\avz4\BASE\syscheck.avz Не удается найти указанный файл" и "...\scripts.avz ..." соответственно. При попытке обновить базу - "File not found" на операции "Обрабатывается файл neurald.avz".
E - это CD/DVD привод, файлы на нем естественно существуют, диск подготовлен на др.машине.
При загрузке в Safe Mode сканирование с CD запускается нормально, но ни одного вируса не находит.
При всем при этом CureIt! в обычном режиме вирус обнаруживает и лечит. Но он появляется снова. Обычно, как я понял, и у других, это файл wintems.exe или mdelk.exe в system32.
Восстановление системы отключено.

Подскажите, куда рыть дальше.
Спасибо.

Скачайте [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. ВЫбирете самую последнюю по дате и времени. Запустите полное сканирование всех дисков.

> wise-wistful

Скачал. Во время инсталляции выкинуто сообщение:
"Ошибка при инициализации приложения (0xc000000f). Для выхода из приложекния нажмите кнопку "OK"""
и затем:
"Приложению не удалось запуститься, поскольку prremote.dll не был найден. Повторная установка приложения может исправить эту проблему."

Увы... Не смогла... :(

Про AVZ не совсем понял она не запускается ни в обычном режиме ни в Safe Mode?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Хиджак то же лог не создаёт. АВЗ запускали только со съёмного носителя, что ли? АВЗ переименовывали?

В SM AVZ работает нормально, только вирусов никаких не находит :)
А в обычном режиме - ни сканирование, ни выполнение скрипта, ни обновление базы не идет.

Давайте лог от АВЗ в SM, посмотрим, что там. Почему Вы решили что она ничего не находит. Только попробуйте запустить в SM с жёсткого диска, а то если со съёмного лог не сохраняется.

АВЗ запускал со съёмного носителя после бузуспешой попытки запустить с HDD - вам, наверное, известное "avz.exe не является приложением Win32"
АВЗ не переименовывал.

Переименуйте АВЗ в какой-то из вариантов test.exe, 123.pif, 555.com. Если с каким-то вариантом не запускается - попробуйте по очереди все варианты, что бы быть уже полностью уверенным.

> wise-wistful

Это займет некоторое время, поэтому я завтра продолжу. Обязательно отпишу.

>Почему Вы решили что она ничего не находит.

Потому, что в окне лога ничего про вирусы нет.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Переименование АВЗ, конечно, позволяет запустить, но дальше всё, как описано в теме ветки.

Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, либо в консоль восстановления, разыскать и удалить следующие файлы:
[b]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe[/b]
После этого AVZ должна заработать.

> Bratez

Данный прием я еще раньше вычитал на этом форуме и испробовал.
Результат отрицательный.

[QUOTE=Johnmen;195218]В SM AVZ работает нормально, только вирусов никаких не находит :)
[/QUOTE]
А вы логи дайте - мы посмотрим.

> Alex_Goodwin

Правильно ли я вас понял, что интересен лог, полученный при запуске в SafeMode, и при отсутствии обнаружения вирусов?

да, вы поняли правильно.

Вот, что удалось получить.
В безопасном режиме - только логи AVZ, в обычном - только лог хайжека.

Прошу прощения, в пред.посте не в "безопасном режиме", а при загрузке с LiveCD.
В безопасном режиме выложу чуть позже...

Это логи самого загрузочного диска - они бесполезны

Логи из под BartPE. я имел ввиду логи авз из безопасного режима.

Базы AVZ необходимо обновить.

попробуйте сделать логи вот [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]этим[/URL]