Не грузится AVZ

Printable View

19.03.2008, 03:30
Andran

Не грузится AVZ

Не грузится AVZ и HijackThis. XoftSpy находит Bagle Trojan. Что делать, подскажите.
19.03.2008, 04:24
Bratez

Загрузиться с LiveCD, Bart PE или др. загрузочного диска, либо в консоль восстановления, разыскать и удалить следующие файлы:
[b]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe[/b]
19.03.2008, 10:12
Andran

Посмотрел сначало проводником, из всех есть только mdelk.exe. Можно ли его удалять из под Винды.

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 25 минут[/I][/B][/color][/size]

Удалил mdelk из под консоли восстановления. Ничего не изменилось
19.03.2008, 10:14
V_Bond

удалить нужно все ...
19.03.2008, 10:17
Andran

Проводником их не видать. Набирать в консоли всёравно?
19.03.2008, 10:18
V_Bond

проводником их удалить и не удастся ... долько консоль или LiveCD
19.03.2008, 11:44
kps

[QUOTE=Andran;203982]Проводником их не видать. Набирать в консоли всёравно?[/QUOTE]

Под Виндоус не пытайтесь удалить, удаляйте из Консоли [b]все[/b] вышеперечисленные файлы. По поводу того, что кроме mdelk.exe из Проводника других файлов не видно, это не удивительно, т.к. они скрыты с помощью руткит-технологий. В общем удаляйте вышеперечисленные файлы и потом попробуйте запустить AVZ и сделать логи.
19.03.2008, 20:54
Andran

Из под консоли все набрал и удалил. К сожелению AVZ не запускается, пишется, что не является приложением WIN32
19.03.2008, 21:00
wise-wistful

А АВЗ переименовывали? avz.exe в что-то типа test.exe, game.pif, program.com.
19.03.2008, 21:07
Andran

Попробовал prn.exe, prn.com, prn.bat. Пишет, что файл с указанным именем существует. К слову вирус после загрузки отключает Брэндмауэр Windows, NAV и др. службы.
19.03.2008, 22:40
kps

Попробуйте так:
1) Отключите восстановление системы как написано в правилах (если еще не отключили).
2) Очистите кеш интернета.
3) Попробуйте удалить папку WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли файлы, указанные [b]Bratez[/b].

AVZ удалите и скачайте снова, и вот только потом попробуйте запустить AVZ и сделать логи.
19.03.2008, 23:49
Andran

Всё сделал и переустановил
19.03.2008, 23:59
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wintems.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('c:\windows\system32\wintems.exe','');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20072[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe [/CODE]
Повторите логи.
20.03.2008, 00:20
Andran

Всё сделал, карантин по ссылке выслал. В Hijackthis указанные строки не нашёл.
20.03.2008, 00:24
wise-wistful

Будем надется, что АВЗ хорошо отработала и удалила. Давайте новый комплект логов.
20.03.2008, 00:50
Andran

Логи выслал. Брэндмауэр Windows запустить вручную?
20.03.2008, 00:59
wise-wistful

Н-да. Выполните в АВЗ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('srosa', 4);
StopService('srosa');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportAll;
BC_DeleteSvc('srosa');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил...
Повторите логи
20.03.2008, 01:36
Andran

Логи выслал. С карантином, по-моему, не получилось, был пуст.
20.03.2008, 01:43
wise-wistful

Как самочувствие системы?
20.03.2008, 01:49
Andran

Только что проверил XoftSpy, нашёл Bagle IX Form. Ещё не удалял.
20.03.2008, 02:04
kps

Активного червя Багла в памяти больше нет. Логи чистые. Что касается, что там его на диске нашли - что ж, на диске какие-нибудь файлы от него может и есть, но они не запущены. Проверьте компьютер Cureit!'ом (ссылка и инструкция по использованию в правилах - пункт 2)
20.03.2008, 02:16
Andran

Беспокоит, что службы Symanteca не запускаются.
20.03.2008, 02:24
kps

CureIt! запускается?

Выполните скрипт в AVZ:
[code]begin
QuarantineFile('C:\WINDOWS\System32\Drivers\ai5w04sn.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Пришлите карантин, как написано в правилах (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=20072[/url] )
20.03.2008, 03:00
Andran

После перезагрузки карантин за сегодняшнее число пуст. Но эта Bagle всё равно находится XoftSpy. Не обращать внимания.
20.03.2008, 07:16
Bratez

Что конкретно пишет ваш XoftSpy?
20.03.2008, 23:23
Andran

Заражено значение системного реестра, вирус Bagle IX Form. Удаляет, после перезагрузки опять находится.
20.03.2008, 23:28
V_Bond

Заражено значение системного реестра - звучит пугающе ;)
сделайте лог авз из пункта 10 правил ....
20.03.2008, 23:58
Andran

Лог сделал.
21.03.2008, 00:07
V_Bond

никаких следов бигля ...
ключ реестра вам ни чем не угрожает .... польза от таких антиспаев нулевая ( у вас есть нормальный антивирус) находят они в лучшем случае следы в реестре ...