-
Ура! Теперь есть шанс удалить Bagle.
Вставьте в окно Avenger "Input script here:" сначала следующий скрипт:
[code]Comment:
Script to delete the Bagle worm N 1
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down[/code]
Компьютер перезагрузится (возможно 2 раза).
После перезагрузки откроется лог Avenger. Сохраните его под именем Avenger1.log
Затем откройте редактор реестра:
Пуск - Выполнить - regedit
Посмотрите, есть ли следующие параметры из ключа системного реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Затем запустите Avenger, отметьте галочкой пункт "Automatically disable any rootkits found" и выполните 2-ой скрипт в Avenger
[code]Comment:
Script to delete the Bagle worm N 2
Drivers to delete:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
[/code]
Компьютер перезагрузится.
Открывшейся лог сохраните под именем Avenger2.log
Запакуйте оба сохраненных лога Avenger в архив и прикрепите архив.
-
Ок, приступаю!
Чегото...
ОбычныйТерминСписокопределенийАдресЦитатыФорматированныйконецформыначалоформыScript to delete the Bagle worm N 1 Drivers to disable: srosa Files to delete: C:\windows\system32\drivers\srosa.sys C:\windows\system32\drivers\hldrrr.exe C:\windows\system32\wintems.exe C:\windows\system32\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\down
Вот такая напись появляется, когда я скрип вставляю!
Ммм?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Скопировал в блокнот и обратно, получилось!
А запускать скрип как? EXEcute!?
-
Да, скрипт запускать с помощью Execute.
Ничего лишнего в скрипте быть не должно, так что если через блокнот ничего лишнего не появляется, то копируйте в Avenger скрипт так, т.е. через блокнот.
-
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Они ж в одной папке? второго не найду!
-
-
Когда это произошло, после второго скрипта? Вы загрузили последнюю удачную конфигурацию?
Что значит "ЗПУКсРП!" ?
-
Угу, оно и есть! Как на сленге будет ПОс. Удачная...?
-
Как система сейчас работает?
Попробуйте теперь удалить AVZ и скачать заново, он запустится?
P.S. из лога Avenger
[quote]Driver "srosa" disabled successfully .
File "C:\windows\system32\drivers\srosa.sys" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.[/quote]
-
-
[u]Обязательно отключите восстановление системы, как написано в правилах[/u]!
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Down\xxxxxxxxxxxx2.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21473[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Выполните пункт 2 правил (полная проверка новым CureIt!'ом).
Сделайте новые логи.
Как безопасный режим, заработал ?
-
Ещё не проверял! Щас скрипт сделаю и узнаю.
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
Карантин готов!
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Безопаски не дождался!!
Уже бывало, что ждать надо 5 и больше минут, щас 3 мин. подождал и ребутнулся!
Синевы нет и уже хоросё!:)
-
Карантину на 10Мб набралось:)
-
Да вроде я уже советовал, а вы я вижу не взяли на вооружение главный антивирус - limited user + раумное хождение по сайтам используя firefox+noscript
Честно сказать, после такой молотилки как у вас, я бы всё начисто смёл- и начал новую жизнь по новым законам;)
-
-
выполните скрипт ...
[code]
begin
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
-
Безопаска народилась, спасибо!
ТОкмо... время выключения стремится к бесконечности....
5 мин. ждал, потом резетнул.
Cureit поставил на автозагрузку, антивиря-то нет....
и идей никто не подкидывает....
-
ИМХО, Nod32 мне больше всего подходит....
Разных модификаций тока много.... КАКАя получше и удобней будет!?
Ммм?
-
[url]http://virusinfo.info/showthread.php?t=1550[/url]
-
Такая просьба, у Вас есть в папке C:\Avenger архив? Если есть, пришлите его пожалуйста нам сюда: [url]http://virusinfo.info/upload_virus.php?tid=21473[/url] (это копии удаленного червя). После отправки, у себя можете этот архив удалить.
-
Page generated in 0.00132 seconds with 10 queries