ну, что я опять пропустил... :)
Printable View
ну, что я опять пропустил... :)
[QUOTE=V_Bond;221897]ну, что я опять пропустил... :)[/QUOTE]
Да прийдется изголяться :D
[QUOTE=akoK;221894]если получится, то выполняйте скрипт в посте №26.....
Будем надеяться.[/QUOTE]
после удаления a347bus.sys и a347scsi.sys бигл перестал восстанавливаться! Интересно :)
Сейчас попробую безопасный режим запустить
Первый комп к интернету можно подключать? чтобы выкачивать AVZ?
На втором компе только что нашел тоже бигл только 206, видимо он мне и не давал номарльно донести до первого компа avenger, hijackthis и combofix.
В общем выполняйте эти рекомендации [url]http://virusinfo.info/showpost.php?p=221840&postcount=26[/url] открывайте новую тему.
[QUOTE=wise-wistful;221904]В общем выполняйте эти рекомендации [url]http://virusinfo.info/showpost.php?p=221840&postcount=26[/url] открывайте новую тему.[/QUOTE]
файл реестра не помогает, не получается запуститься в безопасном режиме, комп перезагружается.
Борьба с биглом на этом закончилась?
Скачайте теперь снова football.pif (я его Вам присылал) и попробуйте запустить в обычном режиме и выполнить рекомендации из поста номер 4.
[QUOTE=kps;221907]Скачайте теперь снова football.pif (я его Вам присылал) и попробуйте запустить в обычном режиме и выполнить рекомендации из поста номер 4.[/QUOTE]
хорошо, попробую
первый комп к интернету подключать можно чтобы скачать и запустить или на втором качать?
Какая разница, у Вас же оба заражены?
[QUOTE=kps;221912]Какая разница, у Вас же оба заражены?[/QUOTE]
загрузил с первого, запускаю... читаю что предлагают выбрать, примерно через 3 секунды закрывается само. Запустил еще раз, сразу нажал OK. Увидел основное окно, начал тянуться к меню, снова закрылось. Примерно через 3 секунды закрывается само.
ок давайте сменим файлик
Качаем [url=http://ifolder.ru/6367793]этот [/url]
Качаем-выполняем-пробуем зайти в безопасный режим-выполняем скрипт
Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Удалите AVZ, скачайте его заново и попробуйте запустить.
[QUOTE=akoK;221919]ок давайте сменим файлик
Качаем [url=http://ifolder.ru/6367793]этот [/url]
Качаем-выполняем-пробуем зайти в безопасный режим-выполняем скрипт[/QUOTE]
Скачал, выполнил.
Получилось зайти в безопасный режим, запустил avenger и скрипт в нем.
Предложил перезапуститься, при перезагрузке выбрал нормальный режим. Видимо в этом и была моя ошибка. Винда запустилась, открылся лог авенджера, в нем есть записи о том что снова были найдены и удалены файлы srosa.sys, hldrrr.exe, mdelk.exe. И все с начала... Бигл на месте, безопасный режим не запускается. И этот экзешник не может теперь отработать...
Я так понял нужно по возможности войти в безопасный режим и больше не загружаться в нормальный?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=kps;221920]Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
[/QUOTE]
сейчас попробую. восстановление системы было выключено, вот только я не могу зайти в папку system voluem information для того чтобы убедиться, что там пусто
ComboFix скачанный остался? Давайте ещё сделаем вот так.
Скачайте ещё раз ComboFix по одной из ссылок [url=http://subs.geekstogo.com/ComboFix.exe]ссылка1[/url], [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка 3[/url]
Во время загрузки, когда Вам предложат сохранить файл переименуйте Combofix в Combo-Fix. Очень важно что бы Вы переименовали именно перед сохранением файла на диске а не после.
Не переименовывайте Combofix во что либо иное.
Теперь нужно установить Консоль восстановления. Загрузите с Microsoft's website => [url]http://support.microsoft.com/kb/310994[/url]
Для загрузки выбирете Вашу операционную систему чистая XP, XP Service Pack 1, Service Pack 2
Сохраните файл под тем именем под которым он будет загружаться. после этого переместите Combofix.exe, Combo-Fix.exe и файл содержащий консоль восстановления в корень диска С (это необходимо так как пути содержащие кирилицу не поддерживаются).
Выгрузите все антивирусные и анти-вредоносные программамы, чтобы они не нарушали работу ComboFix.
Теперь закройте все окна и программы, а затем перетащите установку пакета на ComboFix.exe и положите сверху на него.
[IMG]http://img.photobucket.com/albums/v666/sUBs/rc1.gif[/IMG]
Следуйте инструкциям, примите договора о Лицензионном соглашении конечного пользователя для установки Консоли восстановления Microsoft.
Когда установка консоли будет завершена, закройте все открытые браузеры.
Дважды щелкните на Combo-Fix.exe и следуйте инструкциям на экране.
После окончания сканирования, он должен создать лог. Сохраните этот лог на рабочем столе в Combofix.txt и прикрипите его в Вашему следующему сообщению. (Лог также можно найти по адресу C: \ Combofix.txt)
По ссылке на microsoft там не консоль, а дискеты. Скачал. Не понял что делать с комбофиксом. Скачать один файл как combofix, второй сохранить как Combo-Fix.exe, оба скинть на C:\ вместе с файлом от майкрософта и перетащить экзэшнить от майкрософта на Combo-Fix?
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
что-то не получилось ни перетащить ни просто запустить...
первая машина похоже после общения с интернетом обновила вирус и теперь совсем медленно что-то открывает\закрывает\удаляет
в интернете с ней уже ничего не сделать :(
Теперь раскажите по этапам, что делали и что происходило...на тестовой машине сработало на ура.
[QUOTE=akoK;222031]Теперь раскажите по этапам, что делали и что происходило...на тестовой машине сработало на ура.[/QUOTE]
Скачал WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe,
Скачал combofix -> Combo-Fix.exe. оба файла скопировал на диск C.
Попробовал перетащить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ничего не произошло. Попробовал запустить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ошибка. Это я пробовал сделать на второй машине. Похоже она не может выкачивать файлы нормально.
Сейчас удалось на первой машине выкачать hockey.pif, запустил. Попробую все сделать как написал kps, после отпишусь.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
[QUOTE=kps;221920]Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
[/QUOTE]
был только hldrrr.exe
[QUOTE=kps;221920]
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\drivers\mdelk.exe
[/QUOTE]
были, удалил
[QUOTE=kps;221920]
windows\system32\wintems.exe
windows\system32\mdelk.exe
[/QUOTE]
не было
[QUOTE=kps;221920]
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).
[/QUOTE]
удалил
[QUOTE=kps;221920]
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
[/QUOTE]
удалил
[QUOTE=kps;221920]
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
[/QUOTE]
не было
[QUOTE=kps;221920]
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
[/QUOTE]
есть, в ней есть ключ First12ru123n пока не трогал
[QUOTE=kps;221920]
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
[/QUOTE]
ключа srosa нет, но есть ключи DisplayName, ErrControl, Start, Type... Есть ключ ImagePath с параметрами на c:\windows\system32\drivers\srosa.sys
[QUOTE=kps;221920]
Перезагрузите компьютер.
Удалите AVZ, скачайте его заново и попробуйте запустить.[/QUOTE]
[b]Combofix[/b] сразу переименовали или после закачки?
[QUOTE=graham;222040]
есть, в ней есть ключ First12ru123n пока не трогал[/QUOTE]
Ключ FirstRRRun можете смело удалять, это от червя. Неважно, что там внутри.
[QUOTE=akoK;222055][b]Combofix[/b] сразу переименовали или после закачки?[/QUOTE]
Кликнул по ссылке, открылось диалогоое окно на сохранение, там указал путь и имя файлы Combo-Fix.exe. Т.е. до закачки, перед сохранением.
[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]
[QUOTE=kps;222058]Ключ FirstRRRun можете смело удалять, это от червя. Неважно, что там внутри.[/QUOTE]
Ключ отображается как папка?
[QUOTE=graham;222059]Ключ отображается как папка?[/QUOTE]
Да.
[QUOTE=kps;222062]Да.[/QUOTE]
поудалял все ключи.
не получилось удалить папку downld
запустил еще раз скрипт для avenger, сейчас он отработает, попробую запустить AVZ. Дальше по правилам или отработать скрипт, который выкладывал Гриша?
После скрипта для Avenger удалите AVZ, скачайте заново, запустите и сделайте логи по правилам: [url]http://virusinfo.info/showthread.php?t=1235[/url]
Тот скрипт удалите;)
вот логи, посмотрите, пожалуйста
Бигля в логах не видно.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cmuti.dll','');
QuarantineFile('L:\autorun.inf','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22241[/url]
всем, спасибо
карантин выслал
Карантин пустой. Диск [b]L:[/b] - это что? [b]cmuti.dll[/b] поищите при помощи АВЗ--сервис--поиск файлов на диске, если найдётся вышлите согласно приложения 2 правил.
[QUOTE=wise-wistful;222152]Карантин пустой. Диск [b]L:[/b] - это что? [b]cmuti.dll[/b] поищите при помощи АВЗ--сервис--поиск файлов на диске, если найдётся вышлите согласно приложения 2 правил.[/QUOTE]
L - флэшка. cmuti.dll не нашел, но в логах карантина он есть
есть ini файл, но нет dat файла. На флешке, Ваш авторан?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Выполните в АВЗ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B418B793-0FE2-44E2-BD8B-3597D38C951A}');
DeleteFile('C:\WINDOWS\system32\cmuti.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи начиная с п. 10 правил.
[QUOTE=wise-wistful;222159]есть ini файл, но нет dat файла. На флешке, Ваш авторан?
[/QUOTE]
Нет, не мой. Наверное осталось от вируса, не помню как называется, но как раз автораном он передавался между компами.
логи сейчас сделаю
Не могу добавить логи, получаю следующее:
Сообщение форума
graham, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Сделайте лог с флешкой.
[QUOTE=wise-wistful;222173]Сделайте лог с флешкой.[/QUOTE]
флэшка подключена
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]