в безопасном не получится ( к сожалению) .... что пишет рку при удалении srosa ?
Printable View
в безопасном не получится ( к сожалению) .... что пишет рку при удалении srosa ?
Ну чувствую винда на ладан дышит, безопасный режим все еще не работает - автоматически перезагружается. Перед BSOD во время выполнения скрипта увидел только строчку связанную с [B]srosa.sys[/B]. Переставлять винду?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=V_Bond;169736]в безопасном не получится ( к сожалению) .... что пишет рку при удалении srosa ?[/quote]
А можно как-то посмотреть по логам, а то момент длиться долю-секунду, глаз не успевает прочитать?
[quote]Переставлять винду?[/quote]
Не торопитесь...
Фотоаппарат выручил :cool:
~Примерно:
[QUOTE]
...
[Terminate Process] ... остановлен winterms.exe
[Terminate Process] ... остановлен hldrrr.exe
Удаление файла c:\...\hldrrr.exe
[COLOR="Red"] >>> для удаления файла hldrrr.exe нужна перезагрузка[/COLOR]
Удаление файла c:\...\wintems.exe
[COLOR="Red"] >>> для удаления файла wintems.exe нужна перезагрузка[/COLOR]
Удаление файла c:\...\srosa.sys
Автоматическая чистка следов удаленных в ходе лечения программ
[/QUOTE]
А потом BSOD
рку что пишет ... ?
РКУ - вот это?
[QUOTE]
....
Функция NtSetValueKey(F7) перехвачена...
Функция восстановлена успешно
Код перехватчика нейтрализован
...
Проверено функций 284. Перехвачено 10. Восстановлено 10.[/QUOTE]
Сейчас попробую сфоткать весь список.
[QUOTE=V_Bond;169669][URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\srosa.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт .... из поста 12 ...
сделайте лог virusinfo_syscheck.zip[/QUOTE]
вы это выполнили ?
Я не много поправил скрипт, попробуйте теперь выполнить.
[quote=V_Bond;169765]вы это выполнили ?[/quote]
Да. Все по инструкции, с перезагрузкой и отключением инета. (Отключил подключение по локальной сети, остался включенным какой-то Сетевой адаптер 1394)
и ? вы выбрали C:\WINDOWS\system32\drivers\srosa.sys .... нажали do opperation что написал ?
Скрин перед BSOD
[URL=http://ipicture.ru/Gallery/Viewfull/300529.html][IMG]http://ipicture.ru/uploads/080109/thumbs/Ti7AVzfD2D.png[/IMG][/URL]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=V_Bond;169776]и ? вы выбрали C:\WINDOWS\system32\drivers\srosa.sys .... нажали do opperation что написал ?[/quote]
Да, именно Do operation, единственное что я сделал не совсем так - это просто скопировал путь Ctrl+C, и вставил в окно выбора файла, но вроде всё прошло, во всяком случае он не ругался. Повторить может еще разок?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote=Maxim;169767]Я не много поправил скрипт, попробуйте теперь выполнить.[/quote]
Максим, а какой именно скрипт? их уже много :rolleyes:
[QUOTE=capitanclaw;169778]Максим, а какой именно скрипт? их уже много :rolleyes:[/QUOTE][url]http://virusinfo.info/showpost.php?p=169725&postcount=18[/url]
попробуйте еще раз рку ...
Хех, сейчас попробовал вручную найти этот файл, через кру, но там даже папка drivers не видна. включил опцию в проводнике "показывать системные файлы" - но тоже папка скрыта. Может требуется перезагрузка, сейчас попробую еще разок
Через Total Commander папка drivers видна, но srosa.sys отсутствует!!
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
После перезагрузки в проводнике по-прежднему не видна папка drivers.
Не знаю насколько эта информация поможет, но иногда (2 раза уже): антируткит со странным именем, похожим на хеш-код запускается, но само окно не появляется. При этом в диспечере задач его не завершить, ругается. И в колонки пользователя - пустая строка.
[QUOTE]Я не много поправил скрипт, попробуйте теперь выполнить.[/QUOTE]
Скрипт выполнился без ошибок.
Думаю легче поставить винду, раз такие проблемы :-(
Все равно всем огромное спасибо за попытку помочь! Видно, что вы профи.
Если есть LiveCD - можно попробовать загрузиться с него и удалить этот srosa.sys...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Backdoor.Win32.Delf.afu[/B] (DrWEB: Trojan.Proxy.1994)[*] c:\\windows\\system32\\drivers\\hldrrr.exe - [B]Trojan-Downloader.Win32.Bagle.hi[/B] (DrWEB: Trojan.DownLoader.39209)[*] c:\\windows\\system32\\drivers\\srosa.sys - [B]Trojan-Downloader.Win32.Bagle.hu[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\wintems.exe - [B]Trojan-Downloader.Win32.Bagle.xm[/B] (DrWEB: Win32.HLLM.Beagle)[/LIST][/LIST]