Всем привет, наднях сталкнулся с такой проблемой, нашел вашь форум и решил обратится за помощью
у мне нод32 стоял куда то исчез сапй-бут не работает что делать???
зарание спасибо....
Printable View
Всем привет, наднях сталкнулся с такой проблемой, нашел вашь форум и решил обратится за помощью
у мне нод32 стоял куда то исчез сапй-бут не работает что делать???
зарание спасибо....
[quote=Dj Robert;202065] нашел вашь форум и решил обратится за помощью[/quote]
Выполните, пожалуйста, [url=http://virusinfo.info/showthread.php?t=1235]правила[/url].
Paul
[quote=p2u;202066]Выполните, пожалуйста, [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].
Paul[/quote]
ок спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
правила прочитал. в скриптак не разбераюсь, все утилиты скачал кроме лайв сиди, и что вам надо приселать скажите
Логи нужно прислать, сделанные при помощи AVZ и HijackThis.
Надо будет переименовать AVZ в blabla.pif и попробовать сделать логи
(см п.8 и далее Правил)
[b]@Pavel, p2u[/b]
если бигли стал удачно переименование может не спасти....
Если все-таки Вам не удасться собрать логи, то необходимо загрузиться с
лайв сиди, или консоли востановления, найти и удалить:
[code]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe[/code]
Потом прислать логи.
ничего не открывает win32 :(
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
я попробую с диска винды зайтии востоновить систему это поможет?
Нет. Надо в консоль восстановления и удалить четыре поименованных файла. Иначе восстанавливать смысла нет, зверь останется.
[QUOTE=pig;202105]Нет. Надо в консоль восстановления и удалить четыре поименованных файла. Иначе восстанавливать смысла нет, зверь останется.[/QUOTE] ты прав! не получается, а где находится консоль востановления???
[quote=Dj Robert;202107]ты прав! не получается, а где находится консоль востановления???[/quote]
Консоль восстановления рассчитана только на опытных пользователей, имеющих представление об основных командах, которые предназначены для идентификации проблемных драйверов и файлов! Вам известны такие команды?
[url]http://support.microsoft.com/kb/307654/ru[/url]
Paul
[QUOTE=p2u;202111]Консоль восстановления рассчитана только на опытных пользователей, имеющих представление об основных командах, которые предназначены для идентификации проблемных драйверов и файлов! Вам известны такие команды?
[url]http://support.microsoft.com/kb/307654/ru[/url]
Paul[/QUOTE]
Да Паул спасибо за инфу!
[size="1"][color="#666686"][B][I]Добавлено через 52 минуты[/I][/B][/color][/size]
зашел через консоль восстановления, удалил перечисленые файлы, перезагрузил комп. попытался зайти в сэйф мод, не получилось, перезагрузил винду зашел обычно, набрал в смд файлы есть!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=akoK;202077][B]@Pavel, p2u[/B]
если бигли стал удачно переименование может не спасти....
Если все-таки Вам не удасться собрать логи, то необходимо загрузиться с
лайв сиди, или консоли востановления, найти и удалить:
[code]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe[/code]
Потом прислать логи.[/quote]
не получаеться удалить через консоль восстановления
Попробуйте так:
1) Отключите восстановление системы как написано в правилах (если еще не отключили).
2) Очистите кеш интернета.
3) Попробуйте удалить папку WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли del файлы, перечисленные [b]akoK[/b]. (Альтернатива - удалить их, загрузившись с LiveCD или другого загрузочного диска).
После этого попробуйте запустить AVZ и сделать логи.
Если и это не получится, есть еще и другие возможности, будем пробовать :)
И в безопасный режим пока не заходите, т.к. червь портит его настройки.
[QUOTE=kps;202786]Попробуйте так:
1) Отключите восстановление системы как написано в правилах (если еще не отключили).
2) Очистите кеш интернета.
3) Попробуйте удалить папку WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли del файлы, перечисленные [b]akoK[/b]. (Альтернатива - удалить их, загрузившись с LiveCD или другого загрузочного диска).
После этого попробуйте запустить AVZ и сделать логи.
Если и это не получится, есть еще и другие возможности, будем пробовать :)
И в безопасный режим пока не заходите, т.к. червь портит его настройки.[/QUOTE]
спасибо большое за вашу помощь, сейчас попробую этот вариант!
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 2 минуты[/I][/B][/color][/size]
через консоль восстановления удалось удалить файлы из папки windows\system32 (wintems.exe & mdelk.exe) из папки windows\system32\drivers не удалось удалить файлы srosa.sys & hldrrr.exe
Почему не получилось удалить файлы srosa.sys и hldrrr.exe? Что было написано в Консоли? В прошлый же раз (в посте N 10) у Вас же вроде сначала получилось их удалить?
Есть еще такие варианты:
1) загрузиться с LiveCD, Bart PE или другого загрузочного диска и удалить вышеперечисленные файлы, если из Консоли не получается.
2) Скачайте CureIt! (ссылка в правилах) на чистой машине. Распакуйте cureit.exe - это обычный SFX-архив. Запишите на CD. С CD запустите _start.exe и сделайте обязательно полную проверку, как написано в правилах - пункт 2.
хотел поблагодарить всех кто помогал мне в лечение винды! хочу сказать огромный респект проекту в целом!!! СПАСИБО!
P.S я не смог победить вирус, здаюсь... буду переустонавливать винду по новой...
Не надо сдаваться, можно еще кое-что попробовать. Если Винду еще не переустановили и есть желание еще побороться, пишите, будем дальше смотреть :)
[QUOTE=kps;203561]Не надо сдаваться, можно еще кое-что попробовать. Если Винду еще не переустановили и есть желание еще побороться, пишите, будем дальше смотреть :)[/QUOTE]
еще не переустановил, переносной хард надо купить.
да что то у меня не получается, или я еще чайник мля! :O
Проверять Cureit! с CD пробовали (см. мой пост номер 13 пункт 2) ?
да записал спецально проверил не идет
Скачайте файл hockey.pif [url=http://www.uploading.com/files/55WFWOOS/hockey.pif.html]по этой ссылке[/url] (Вам надо подождать указанное там время, прежде чем появится ссылка для скачивания).
Это переименованный IceSword.
Отключите восстановление системы, как написано в правилах (если еще не отключили) и очистите кеш интернета.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос потверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Перезагрузите компьютер.
После перезагрузки попробуйте запустить AVZ и сделать логи по правилам.
не получается скачать :(
хоть что то получилось!
зашел через загрузочный диск, удалил папку down удалил файлы, перезагрузился.
[B]F8 safe mode. directory services restore mode (windows domein controllers only)[/B]
получилось открыть avz через winrar и сделать Log
перезагрузился srosa.sys hldrrr.exe опять блокируют анти вирусы.
и теперь hldrrr.exe седит в процесах.
wintems.exe и mdelk.exe вроде стерлись
сорри все файлы наместе :(
Как не получается скачать? Вот ссылка [url]http://www.uploading.com/files/55WFWOOS/hockey.pif.html[/url] , зайдите туда, там внизу будет написано Please Wait и обратный отсчет секунд (начиная примерно с минуты), подождите пока время пройдет (примерно минуту), тогда появится кнопка "Download", на нее нажмите, скачайте и выполните инструкции из поста N 19.
вот еще лог
да идет отчет, потом нажимаю на даунлоад открывается новое окно и все..
а кеш интернета очищяеться, как я понял в опцыях интернета-Internet Properties?
ок, я залью его сейчас куда-нибудь в другое место.
[QUOTE=Dj Robert;204359]а кеш интернета очищяеться, как я понял в опцыях интернета-Internet Properties?[/QUOTE]
В IE на английском вроде Tools - Internet Options (у меня на русском).
огромное спасибо за вашу помощь!!
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Вот ссылка, скачайте (там надо ввести 3 буквы и нажать на Download) и подождать.
После того, как скачаете, выполните инструкции из поста N 19.
скачал сейчас попробую спасибо...
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 7 минут[/I][/B][/color][/size]
не получаеться, стераю перестартовываю опять появляются... я еще в регистрах покопался там нашел german.exe удалил. теперь в регистре, ран, появляеться hldrrr.exe что за таварь такая, а мля! :(
Хорошо, что IceSword хоть запустился, сделайте так:
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос потверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa (не обращайте внимание на пробел в слове "srosa", его не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
После перезагрузки, удалите AVZ, скачайте его заново, запустите и попробуйте сделать логи по правилам (начиная с п.10 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]).
эти логи не те сорри щя другие пришлю
Ура, AVZ запустился!
Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a1p8aqez.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=19829[/url] )
Сделайте новые логи начиная с пункта 10 правил.
Гип гип ура ура ура!!! :D вот новые логи посмотрите пожалуйстя... я еще не выполнил скрипт!
Все, червя Багла больше нет, поздравляю, но на всякий случай проверьте компьютер еще утилитой CureIt! (ссылка и инструкция в правилах, пункт 2).
Выполните скрипт в AVZ:
[code]begin
QuarantineFile('C:\WINDOWS\System32\Drivers\a1x2kb8x.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=19829[/url] )
Вот это Вам знакомо -
C:\Documents and Settings\DJ Robert\Local Settings\Temp\ir_ext_temp_1\AutoPlay\Docs\Universal Windows Keyfinder.exe
Это not-a-virus: PSWTool.Win32.RAS.a
Если не нужен или незнаком - удалите.
Universa l Windows Keyfinder.exe помоему это утилита которой я крякал винду что бы апдейты на халяву получать, если не нужна я удалю
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
карантин надо запоковать в рар???
Карантин надо паковать в zip c паролем virus , почитайте правила - приложение 3.
сделал отправил на этом все можно запустить нод?
Нод лучше удалить и поставить заново, на случай, если червь его повредил.
хочу сказать огромное спасибо за вашу помощь!!!
не посоветуете какую версию нода лучше поставить? или ссылку дадите зарание спасибо
Можете посмотреть [url=http://www.eset.com/download/free_trial_download_int.php]здесь[/url].
все!!! скачал нод32. установил, обнавил базы. просканирывал полностью весь комп. нашел один вирус удалил... сейчас все пучком :) сапсибо спасибо большое вам вашему проекту, здоровья и долголетия!!!!