Карантин прислал, правда, как я успел заметить, туда попало не всё (ошибки прямого чтения были вроде).
На всякий случай сделал еще логи.
Printable View
Карантин прислал, правда, как я успел заметить, туда попало не всё (ошибки прямого чтения были вроде).
На всякий случай сделал еще логи.
Теперь червю не уйти. Сильно маскировался.
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe - [B]Trojan-Downloader.Win32.Bagle.po[/B]
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe - [B]Trojan-Downloader.Win32.Bagle.po[/B]
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe - [B]Trojan-Downloader.Win32.Bagle.po[/B]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('H:\autorun.inf');
DeleteFile('H:\nideiect.com');
DeleteFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe');
DeleteFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe');
DeleteFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.
Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
И логи по правилам.
boot_clr_B_d.log не создался. Я работал с экспериментальной AVZ, которая 60.com.
Остальные логи прикрепляю.
Осталось реестр почистить от червя.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end. [/code]
Компьютер перезагрузится.
Прикрепите логи : B_d.txt и boot_clr_B_d.log, если есть, из папки AVZ.
И логи по правилам. Все 3.
Прикрепляю всё, что получилось. Какова картина? :)
Червя больше нет. Логи почти чистые - почти, потому что у Вас есть Bonjour, можете почитать о нем здесь:
[url]http://forum.rudtp.ru/showthread.php?t=29833[/url]
Его лучше удалить.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
I:\ - это флешка? Если да, то подключите ее. Один файлик можно проверить:
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
QuarantineFile('I:\autorun.inf','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин по правилам.
На всякий случай выполните пункт 2 правил (полная проверка свежим CureIt!)
CureIt нашел и удалил еще три Beagle, два из которых - на флэшке.
Шпионский бонжур остановил, проблемы через AVZ исправил.
Карантин выслал.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Попытался войти в безопасный режим - компьютер, так же как и раньше, перезагружается.
Попытался удалить и переустановить драйверы wi-fi, после перезагрузки выдал вот такие сообщения:
[url]http://www.ljplus.ru/img4/x/_/x_winger/wi-fi-error.JPG[/url]
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[CODE]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/CODE]
После этого попробуйте безопасный режим.
Черт, буквально за минуту до вашего сообщения использовал второй вариант из этого топика:
[url]http://virusinfo.info/showthread.php?t=9279[/url]
Windows при загрузке выдает синий экран и перезагружается, ни один вариант не работает.
Чувствую, пора переустанавливать систему. :)
Может, есть вариант, как вернуть загрузку в первоначальное состояние "руками" (появился бокс для винчестера)?
Не надо заниматься самолечением. Столько лечили :(
Думаю, надо загрузиться с загрузочного CD и отредактировать BOOT.INI, чтобы было как раньше.
Сделал (подключил винчестер к другому компьютеру), удалил /safeboot, попробую загрузиться.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 21 минуту[/I][/B][/color][/size]
Система загрузилась. Жду дальнейших указаний.
Диск I: оставьте подключенным.
Выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('I:\Recycled\deskinf.pif','');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\Recycled\deskinf.pif');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.
Попробуйте, пойдет ли загрузка в безопасный режим.
Обновите базы AVZ и сделайте новые логи.
Выполнил скрипт - безопасный режим начал работать. :)
Прикрепил логи.
Теперь чисто. Какие-то проблемы остались ?
Не работает wi-fi соединение, проблема описана в сообщении #47.
wlanapi.dll удалите из папки system32 ....
попробуйте переустановить драйвера ..
Попробовал - та же ошибка.
такой вопрос ... проблема появилась до установки сп3 или после ?
если после , нужно взять [b]последнюю[/b] библиотеку для вашей модели на сайте производителя ... и записать ее в system32
Так и не смог починить-разобраться с wi-fi. Читал, что такая проблема возникла у многих после установки sp3. Буду пробовать и дальше.
Но главное, что признаков вируса \ вирусов нет, система работает нормально. Спасибо всем большое! :)