Скрипт выполнил, но при проверке avz снова нашел этот hldrrr.exe. Снова отказалась запускаться нормальная версия avz, все делал в "game.exe".
CureIt закрывается автоматически.
Карантин отправил, логи прикрепил.
Printable View
Скрипт выполнил, но при проверке avz снова нашел этот hldrrr.exe. Снова отказалась запускаться нормальная версия avz, все делал в "game.exe".
CureIt закрывается автоматически.
Карантин отправил, логи прикрепил.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.
Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
И логи по правилам.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('srosa');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\nideiect.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
если не запустится CureIt ...
включите AVZGuard и запустите CureIt как доверенное приложение ...
AVZ Guard выдает ошибку "Ошибка AVZ Guard: C000009A".
Логи прикрепил.
boot_clr_B_d.log не создался
есть возможность загрузиться с CD ?
вы имеете ввиду загрузочные диски?
да ...
Что именно нужно сделать?
найти и удалить ....
C:\WINDOWS\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
c:\windows\system32\wintems.exe
c:\windows\system32\mdelk.exe
c:\windows\system32\drivers\mdelk.exe
затем новые логи ...
Что-то не могу использовать загрузочные диски (у меня всякие "системные" и установочные windows), там, конечно есть файловые менеджеры и dos, но жесткий диск они не видят. Может быть, есть какие-нибудь общеизвестные загрузочные образы для cd\dvd? Флоппи у меня нет :(
Выполните такой скрипт, он немного изменен:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.
Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
Выполнил скрипт. После перезагрузки вылезло окошко: "Select file to crack" с выбором exe, а потом появилось синее окно, ошибка *** STOP: 0x000000F4 (0x00000003, 0x8A695FDA0, 0X8A695F14, 0x805D2970). Какие логи сделать?
boot_clr_B_d.log не создался.
А этот B_d.txt ?
Прикрепляю b_d.txt
Не понятно, почему не создался лог Бутклинера... Прогоните скрипт из поста номор 31 еще раз и после перезагрузки прикрепите получившиеся логи (в том числе boot_clr_B_d.log, если есть). Кроме того прикрепите новые логи, начиная с пункта 10 правил.
Скрипт выполнил - перезагрузка и снова это окно про crack. Выполнял syscheck и проверку hijackthis при этом окне. Бутклинер не создан.
Еще заметил, что вирус как будто препятствует копированию avz на компьютер: с флэшки работает, но при копировании пишет "файл такой-то не найден".
принтскрин окошка сделайте ....
Сделал, вот ссылка:
[url]http://www.ljplus.ru/img4/x/_/x_winger/screen-crack-1.GIF[/url]
Окошко вроде самое обыкновенное.
Пилюли почему-то все забыли, а надо ;)
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
C:\WINDOWS\aticlocklib.dll - обычно не то место где должно лежать- надо на всякий случай копию прислать.
также попробуйте запустить экспериментальную версию avz- у меня в подписи и с ней сделать логи.
Червь у Вас видимо в автозапуске еще остался.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe','');
QuarantineFile('C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe','');
QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe','');
QuarantineFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe','');
QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe','');
QuarantineFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe','');
QuarantineFile('C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe','');
QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedhlp.exe','');
QuarantineFile('C:\Program Files\QuickTime\QTTask.exe','');
QuarantineFile('C:\Program Files\RSSoft\RedSwoosh.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.