hdlrrr.exe

загрузил одну прогу, в которой Symantec End Point обнаружил 2 вируса, по-моему троян-доунлодеря, SEP удалил их (?), но потом SEP перестал работать нормально (не грузится при старте, нет в трее...) . После ентого заметил что при старте системы грузится hldrrr.exe в дисп.здч -жрал ~58. Проц я этот удалял всякий раз.

Вот еще какие странности заметилл:
1. Делал все по правилам. грузился в обычном режиме, т.к. в б/опасном не получалось (система просила за это прощения на английском). Кстати Dr.Web удалил файл hldrrr.exe.
2. SEP не раьотает , его файлы как бы на месте но у Application файлов отсутствует фирменная иконка, вместо нее-белый квадрат в синей рамке.
3. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
В инете я сейчас только с брандмэром Windows, без АВ.
Буду благодарен за помощь.

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msoft98.sys','');
StopService('srosa');
DeleteService('srosa');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После ребута карантин закачайте по правилам, повторите логи

Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com

логи:

[QUOTE=rafik;212362]Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com[/QUOTE]
это правильно :). Как проходит полёт?
Выполните еще такой скрипт
[CODE]begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\drivers\msoft98.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если файл попадет в карантин-закачайте его, если нет - попробуйте найти и добавить его согласно приложению 3 правил

полет-нормально!
непонял, какой файл имеете ввиду . пока скрипт не выполнял.

Сначала выполните скрипт,если в карантин он(msoft98.sys) не захочет,пришлите его согласно приложению 2 правил.

'C:\WINDOWS\system32\drivers\msoft98.sys' - вот этот файлик.

msoft98.sys?

да

поиск скриптом, вручную, с маской * ничего не обнаружил. у вируса супер маскировка!

[QUOTE=rafik;212613]у вируса супер маскировка![/QUOTE]Может это и не вирус вовсе. Просто информация о файле в гугле практически остсутствует, поэтому было бы интересно на него посмотреть.

а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
2. и можно ли установить новый АВ, какой лучше Symantec End Point? AVG? Касперский? и как удалить все файлы старого
3. прав-но ли что svchost.exe в дисп. задач аж 7!
4. AVZ находил 3 файла, подозреваемых на троян -их удалять или что...

[QUOTE=rafik;212633]а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов". [/QUOTE]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Проблема осталась?

[QUOTE=rafik;212633]можно ли установить новый АВи
[/QUOTE]Можно, если Вы не удовлетворены старым.
[QUOTE]какой лучше Symantec End Point? AVG? Касперский? [/QUOTE]
Какой лучше - сказать нельзя, т.к. это зависит от того, для чего используется ПК, какие рабочие приложения установлены, какое железо.... Скачайте триалки и погоняйте в течение срока триальной версии, оставьте тот, какой с Вашей системой лучше уживется.
[QUOTE] как удалить все файлы старого[/QUOTE]
Насчет этого посетите сайт производителя и проконтактируйте с его службой поддержки.

Еще поищите в IceSword'е [url]http://virusinfo.info/showthread.php?t=17109[/url] файлы
C:\WINDOWS\system32\drivers\msoft98.sys
C:\WINDOWS\system32\DRIVERS\a.sys
и если есть, скопируйте их, как написано в инструкции. Скопированные файлы пришлите нам в архиве с паролем virus по этой ссылке [url]http://virusinfo.info/upload_virus.php?tid=21168[/url]

[quote][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL][/quote]
[quote=kps][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL][/quote]

проблема осталась

[B]Rene-gad,[/B]
спасибо!

скачайте архив по ссылке: [url]http://vc.kiev.ua/vc/download/vc405sw.zip[/url]
распакуйте в новую папку, запустите файл vc.com и поищите файлы (Поиск Alt+F7).

ошибка при открытии IceSword:

IceSword не работает в защищ. режиме. Да, и еще Симантека надо отключить, он мешать может.

я в обычном, если вы про safe mode.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

vc405sw ничего не нашла

[QUOTE=rafik;212633]а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов". [/QUOTE]

Чтобы решить эту проблему, сделайте следующее:
Пуск - Выполнить - напишите regedit - ok
Откроется редактор реестра.
В левом окне откройте ключ
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL[/code]
В правом окне посмотрите, есть ли параметр CheckedValue, если есть удалите его.
Создайте параметр CheckedValue (правай кнопка мыши - создать - параметр "DWORD" и дайте имя CheckedValue ). Присвойте параметру CheckedValue значение 1 (правая кнопка мыши по параметру CheckedValue , выберите Изменить - в поле значение напишите 1 - ОК).
Перезагрузите компьютер.
Проблема осталась?

[QUOTE=rafik;212668]ошибка при открытии IceSword:[/QUOTE]
hockey.pif это переименованный IceSword.
Скачайте отсюда:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Если запустится, выполните совет из поста Nr. 15

с регистром не получилось также как с hockey.pif

А параметр "DWORD" - CheckedValue со значением 1 Вы там создали и компьютер перезагрузили?
Должно быть так:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001[/code]

[quote=PavelA;212672]Да, и еще Симантека надо отключить, он мешать может.[/quote]

симантек итак не грузится при старте, а можно его файлы вообще удалить?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

kps
первый раз вводил как написано и перезагружал, второй раз написал вручную 00000001 и снова рестарт... все одно и тоже

Скачайте вложение r1.rar, распакуйте, запустите файл r1.reg и согласитесь с добавлением в реестр.
Перезагрузите компьютер. Проблема осталась?

качается по ссылке как attachment.php

[url]http://www.megaupload.com/ru/?d=YZ0HBCCQ[/url]
Отсюда можете попробовать.

Проблема устранилась.
IceSword не открывается, а можно файлы семантика удалить?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 53 минуты[/I][/B][/color][/size]

если IceSword не открывается- значит есть вирус?
можно файлы семантика удалить?

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

гадо ли мне сейчас разрешить восстановление системы?

[QUOTE=rafik;212780]П
если IceSword не открывается- значит есть вирус?
можно файлы семантика удалить?
[/QUOTE]
попробуйте скачать заново ...

.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

[COLOR=white].[/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]

система по прежнему не грузится в безопасном

ЭЙ КТОНИБУДЬ ЧТО МНЕ ДЕЛАТЬ ЖДУ ПОМОЩИ!!!!!!!!!!!

[QUOTE=rafik;213432]ЧТО МНЕ ДЕЛАТЬ [/QUOTE]Кричать не надо.
Пуск/Выполнить...., напечатать msconfig + Ввод.
Закладка BOOT.INI, активировать опции /SAFEBOOT и MINIMAL
Подтвердить изменения, закрыть msconfig, перегрузить систему.
Систем будет грузиться в Safe Mode столько, сколько активирована опция /SAFEBOOT.

Еще зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.

в AVZ зайти в б\опасном или в обычном? Она будет проверять файлы с уст. диска?

Это сделайте в обычном режиме. Будет проверять системные файлы на Вашем компьютере и в случае повреждения программа предложит Вам заменить файлы на чистые с диска.

поставил галку как посоветовал [B]Rene-gad[/B] в 32 посте и не смог зайти в систему. даже в ERD comaander не получалось убрать галку обратно, сохранил данные через него на флэш и переустановил Винду.
ЗА ПОМОЩЬ ВСЕМ СПАСИБО!8)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]