hdlrrr.exe

загрузил одну прогу, в которой Symantec End Point обнаружил 2 вируса, по-моему троян-доунлодеря, SEP удалил их (?), но потом SEP перестал работать нормально (не грузится при старте, нет в трее...) . После ентого заметил что при старте системы грузится hldrrr.exe в дисп.здч -жрал ~58. Проц я этот удалял всякий раз.

Вот еще какие странности заметилл:
1. Делал все по правилам. грузился в обычном режиме, т.к. в б/опасном не получалось (система просила за это прощения на английском). Кстати Dr.Web удалил файл hldrrr.exe.
2. SEP не раьотает , его файлы как бы на месте но у Application файлов отсутствует фирменная иконка, вместо нее-белый квадрат в синей рамке.
3. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
В инете я сейчас только с брандмэром Windows, без АВ.
Буду благодарен за помощь.

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msoft98.sys','');
StopService('srosa');
DeleteService('srosa');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута карантин закачайте по правилам, повторите логи

Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com

логи:

[QUOTE=rafik;212362]Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com[/QUOTE]
это правильно :). Как проходит полёт?
Выполните еще такой скрипт
[CODE]begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\drivers\msoft98.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если файл попадет в карантин-закачайте его, если нет - попробуйте найти и добавить его согласно приложению 3 правил

полет-нормально!
непонял, какой файл имеете ввиду . пока скрипт не выполнял.

Сначала выполните скрипт,если в карантин он(msoft98.sys) не захочет,пришлите его согласно приложению 2 правил.

'C:\WINDOWS\system32\drivers\msoft98.sys' - вот этот файлик.

msoft98.sys?

да

поиск скриптом, вручную, с маской * ничего не обнаружил. у вируса супер маскировка!

[QUOTE=rafik;212613]у вируса супер маскировка![/QUOTE]Может это и не вирус вовсе. Просто информация о файле в гугле практически остсутствует, поэтому было бы интересно на него посмотреть.

а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
2. и можно ли установить новый АВ, какой лучше Symantec End Point? AVG? Касперский? и как удалить все файлы старого
3. прав-но ли что svchost.exe в дисп. задач аж 7!
4. AVZ находил 3 файла, подозреваемых на троян -их удалять или что...

[QUOTE=rafik;212633]а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов". [/QUOTE]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Проблема осталась?

[QUOTE=rafik;212633]можно ли установить новый АВи
[/QUOTE]Можно, если Вы не удовлетворены старым.
[QUOTE]какой лучше Symantec End Point? AVG? Касперский? [/QUOTE]
Какой лучше - сказать нельзя, т.к. это зависит от того, для чего используется ПК, какие рабочие приложения установлены, какое железо.... Скачайте триалки и погоняйте в течение срока триальной версии, оставьте тот, какой с Вашей системой лучше уживется.
[QUOTE] как удалить все файлы старого[/QUOTE]
Насчет этого посетите сайт производителя и проконтактируйте с его службой поддержки.

Еще поищите в IceSword'е [url]http://virusinfo.info/showthread.php?t=17109[/url] файлы
C:\WINDOWS\system32\drivers\msoft98.sys
C:\WINDOWS\system32\DRIVERS\a.sys
и если есть, скопируйте их, как написано в инструкции. Скопированные файлы пришлите нам в архиве с паролем virus по этой ссылке [url]http://virusinfo.info/upload_virus.php?tid=21168[/url]

[quote][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL][/quote]
[quote=kps][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL][/quote]

проблема осталась

[B]Rene-gad,[/B]
спасибо!

скачайте архив по ссылке: [url]http://vc.kiev.ua/vc/download/vc405sw.zip[/url]
распакуйте в новую папку, запустите файл vc.com и поищите файлы (Поиск Alt+F7).

ошибка при открытии IceSword:

IceSword не работает в защищ. режиме. Да, и еще Симантека надо отключить, он мешать может.

я в обычном, если вы про safe mode.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

vc405sw ничего не нашла