ну, что я опять пропустил... :)
Printable View
ну, что я опять пропустил... :)
[QUOTE=V_Bond;221897]ну, что я опять пропустил... :)[/QUOTE]
Да прийдется изголяться :D
[QUOTE=akoK;221894]если получится, то выполняйте скрипт в посте №26.....
Будем надеяться.[/QUOTE]
после удаления a347bus.sys и a347scsi.sys бигл перестал восстанавливаться! Интересно :)
Сейчас попробую безопасный режим запустить
Первый комп к интернету можно подключать? чтобы выкачивать AVZ?
На втором компе только что нашел тоже бигл только 206, видимо он мне и не давал номарльно донести до первого компа avenger, hijackthis и combofix.
В общем выполняйте эти рекомендации [url]http://virusinfo.info/showpost.php?p=221840&postcount=26[/url] открывайте новую тему.
[QUOTE=wise-wistful;221904]В общем выполняйте эти рекомендации [url]http://virusinfo.info/showpost.php?p=221840&postcount=26[/url] открывайте новую тему.[/QUOTE]
файл реестра не помогает, не получается запуститься в безопасном режиме, комп перезагружается.
Борьба с биглом на этом закончилась?
Скачайте теперь снова football.pif (я его Вам присылал) и попробуйте запустить в обычном режиме и выполнить рекомендации из поста номер 4.
[QUOTE=kps;221907]Скачайте теперь снова football.pif (я его Вам присылал) и попробуйте запустить в обычном режиме и выполнить рекомендации из поста номер 4.[/QUOTE]
хорошо, попробую
первый комп к интернету подключать можно чтобы скачать и запустить или на втором качать?
Какая разница, у Вас же оба заражены?
[QUOTE=kps;221912]Какая разница, у Вас же оба заражены?[/QUOTE]
загрузил с первого, запускаю... читаю что предлагают выбрать, примерно через 3 секунды закрывается само. Запустил еще раз, сразу нажал OK. Увидел основное окно, начал тянуться к меню, снова закрылось. Примерно через 3 секунды закрывается само.
ок давайте сменим файлик
Качаем [url=http://ifolder.ru/6367793]этот [/url]
Качаем-выполняем-пробуем зайти в безопасный режим-выполняем скрипт
Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Удалите AVZ, скачайте его заново и попробуйте запустить.
[QUOTE=akoK;221919]ок давайте сменим файлик
Качаем [url=http://ifolder.ru/6367793]этот [/url]
Качаем-выполняем-пробуем зайти в безопасный режим-выполняем скрипт[/QUOTE]
Скачал, выполнил.
Получилось зайти в безопасный режим, запустил avenger и скрипт в нем.
Предложил перезапуститься, при перезагрузке выбрал нормальный режим. Видимо в этом и была моя ошибка. Винда запустилась, открылся лог авенджера, в нем есть записи о том что снова были найдены и удалены файлы srosa.sys, hldrrr.exe, mdelk.exe. И все с начала... Бигл на месте, безопасный режим не запускается. И этот экзешник не может теперь отработать...
Я так понял нужно по возможности войти в безопасный режим и больше не загружаться в нормальный?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=kps;221920]Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
[/QUOTE]
сейчас попробую. восстановление системы было выключено, вот только я не могу зайти в папку system voluem information для того чтобы убедиться, что там пусто
ComboFix скачанный остался? Давайте ещё сделаем вот так.
Скачайте ещё раз ComboFix по одной из ссылок [url=http://subs.geekstogo.com/ComboFix.exe]ссылка1[/url], [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка 3[/url]
Во время загрузки, когда Вам предложат сохранить файл переименуйте Combofix в Combo-Fix. Очень важно что бы Вы переименовали именно перед сохранением файла на диске а не после.
Не переименовывайте Combofix во что либо иное.
Теперь нужно установить Консоль восстановления. Загрузите с Microsoft's website => [url]http://support.microsoft.com/kb/310994[/url]
Для загрузки выбирете Вашу операционную систему чистая XP, XP Service Pack 1, Service Pack 2
Сохраните файл под тем именем под которым он будет загружаться. после этого переместите Combofix.exe, Combo-Fix.exe и файл содержащий консоль восстановления в корень диска С (это необходимо так как пути содержащие кирилицу не поддерживаются).
Выгрузите все антивирусные и анти-вредоносные программамы, чтобы они не нарушали работу ComboFix.
Теперь закройте все окна и программы, а затем перетащите установку пакета на ComboFix.exe и положите сверху на него.
[IMG]http://img.photobucket.com/albums/v666/sUBs/rc1.gif[/IMG]
Следуйте инструкциям, примите договора о Лицензионном соглашении конечного пользователя для установки Консоли восстановления Microsoft.
Когда установка консоли будет завершена, закройте все открытые браузеры.
Дважды щелкните на Combo-Fix.exe и следуйте инструкциям на экране.
После окончания сканирования, он должен создать лог. Сохраните этот лог на рабочем столе в Combofix.txt и прикрипите его в Вашему следующему сообщению. (Лог также можно найти по адресу C: \ Combofix.txt)
По ссылке на microsoft там не консоль, а дискеты. Скачал. Не понял что делать с комбофиксом. Скачать один файл как combofix, второй сохранить как Combo-Fix.exe, оба скинть на C:\ вместе с файлом от майкрософта и перетащить экзэшнить от майкрософта на Combo-Fix?
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
что-то не получилось ни перетащить ни просто запустить...
первая машина похоже после общения с интернетом обновила вирус и теперь совсем медленно что-то открывает\закрывает\удаляет
в интернете с ней уже ничего не сделать :(
Теперь раскажите по этапам, что делали и что происходило...на тестовой машине сработало на ура.
[QUOTE=akoK;222031]Теперь раскажите по этапам, что делали и что происходило...на тестовой машине сработало на ура.[/QUOTE]
Скачал WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe,
Скачал combofix -> Combo-Fix.exe. оба файла скопировал на диск C.
Попробовал перетащить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ничего не произошло. Попробовал запустить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ошибка. Это я пробовал сделать на второй машине. Похоже она не может выкачивать файлы нормально.
Сейчас удалось на первой машине выкачать hockey.pif, запустил. Попробую все сделать как написал kps, после отпишусь.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
[QUOTE=kps;221920]Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
[/QUOTE]
был только hldrrr.exe
[QUOTE=kps;221920]
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\drivers\mdelk.exe
[/QUOTE]
были, удалил
[QUOTE=kps;221920]
windows\system32\wintems.exe
windows\system32\mdelk.exe
[/QUOTE]
не было
[QUOTE=kps;221920]
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).
[/QUOTE]
удалил
[QUOTE=kps;221920]
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
[/QUOTE]
удалил
[QUOTE=kps;221920]
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
[/QUOTE]
не было
[QUOTE=kps;221920]
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
[/QUOTE]
есть, в ней есть ключ First12ru123n пока не трогал
[QUOTE=kps;221920]
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
[/QUOTE]
ключа srosa нет, но есть ключи DisplayName, ErrControl, Start, Type... Есть ключ ImagePath с параметрами на c:\windows\system32\drivers\srosa.sys
[QUOTE=kps;221920]
Перезагрузите компьютер.
Удалите AVZ, скачайте его заново и попробуйте запустить.[/QUOTE]
[b]Combofix[/b] сразу переименовали или после закачки?
[QUOTE=graham;222040]
есть, в ней есть ключ First12ru123n пока не трогал[/QUOTE]
Ключ FirstRRRun можете смело удалять, это от червя. Неважно, что там внутри.
[QUOTE=akoK;222055][b]Combofix[/b] сразу переименовали или после закачки?[/QUOTE]
Кликнул по ссылке, открылось диалогоое окно на сохранение, там указал путь и имя файлы Combo-Fix.exe. Т.е. до закачки, перед сохранением.
[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]
[QUOTE=kps;222058]Ключ FirstRRRun можете смело удалять, это от червя. Неважно, что там внутри.[/QUOTE]
Ключ отображается как папка?
[QUOTE=graham;222059]Ключ отображается как папка?[/QUOTE]
Да.