Printable View
Авира в дауне, cureitt работают, тоесть запуститься могут, но через несколько секунд исчезают!
avz тоже не запускаются!
Безопаска не пашет: синева!
Дайте скрипт для неё!
Я с утра попробую логи выполнить!
Фильмы кодеков требуют....
AVP тулз не устанавливается до конца.....
И всё ж было нормально, тока винда тормозила.
Я захотел в 21 часов ребутнуться, дабы освежить винду, и началося....Авира труппо и т.д......
Спать хочу не могу....
hockey.pif это переименованный IceSword.
Скачайте отсюда:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.
AVZ 1 запускается, но в меню: станд. скрипты ничего нет!
Ммм
Ждем логов от IceSword (hockey.pif) :)
[quote=kps;215102]hockey.pif это переименованный IceSword.
Скачайте отсюда:
[URL]http://www.megaupload.com/?d=AUGYD37C[/URL]
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.[/quote]
Не могу скачать с [URL]http://www.megaupload.com/?d=AUGYD37C[/URL]!
Безопасный не грузится, на синеве код: 0007в!
Скрип не дадите!?
avz вырубается через 5 сек после запуска!
Ммм?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
не запускается ноткей!
У Вас похоже Багл... безопасным режимом займемся, но не сейчас, надо сначала гадость удалить. Почему не качается hockey.pif, что написано?
КАчается , а при запуске пишет: инициал... файлед!
Да, тяжелый случай.
[url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
Вот это еще попробуйте, это тоже IceSword.
Если не получится, то скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Переименуйте его exe файл в football.exe. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Запускать систему с live CD (что-то типа bart pe- с cureit , avptool) пробовали ?
А вообще какие-нибудь программы запускаются, т.е. не запускаются только защитные программы?
Попробуйте сделать лог вот этим:
[url]ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe[/url]
Хм, а вот это запустится [url]http://www.megaupload.com/ru/?d=L2OKGDTC[/url] ?
lll.bat это переименованный Gmer.
НЕА!
Вот чо пишет, см скрин!
[url]http://virusinfo.info/soft/1.zip[/url] - переименованный HijackThis запустится? Если нет - что пишет?
Посмотрите еще, нет ли у Вас файла windows\system32\mdelk.exe
ЛОГ! Хичджакеса
Этого лога к сожалению недостаточно.
2.bat (IceSword) у Вас запустится?
[url]http://www.megaupload.com/ru/?d=RWTW76OD[/url]
В проводнике Windows у Вас виден windows\system32\mdelk.exe ?
mdelk.exe нашелся в ТС! чо с ним делать!?
Айс качаю....
Вот так, это значит, что у Вас поселился червь Bagle...
Это только один файл червя - если только его удалить, Вам это ничего не даст.
Сообщите, запустился ли 2.bat?
У меня есть на заметке программа, с помощью которой можно попытаться удалить эту гадость. Сейчас напишу для нее скрипт...
Я написал скрипт для Avenger. Попробуйте ее скачать [url]http://swandog46.geekstogo.com/avenger2/download.php[/url] и запустите, получилось запустить?
После ринейма запустился таки!:)
Ммм?
Ура! Теперь есть шанс удалить Bagle.
Вставьте в окно Avenger "Input script here:" сначала следующий скрипт:
[code]Comment:
Script to delete the Bagle worm N 1
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down[/code]
Компьютер перезагрузится (возможно 2 раза).
После перезагрузки откроется лог Avenger. Сохраните его под именем Avenger1.log
Затем откройте редактор реестра:
Пуск - Выполнить - regedit
Посмотрите, есть ли следующие параметры из ключа системного реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Затем запустите Avenger, отметьте галочкой пункт "Automatically disable any rootkits found" и выполните 2-ой скрипт в Avenger
[code]Comment:
Script to delete the Bagle worm N 2
Drivers to delete:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
[/code]
Компьютер перезагрузится.
Открывшейся лог сохраните под именем Avenger2.log
Запакуйте оба сохраненных лога Avenger в архив и прикрепите архив.
Ок, приступаю!
Чегото...
ОбычныйТерминСписокопределенийАдресЦитатыФорматированныйконецформыначалоформыScript to delete the Bagle worm N 1 Drivers to disable: srosa Files to delete: C:\windows\system32\drivers\srosa.sys C:\windows\system32\drivers\hldrrr.exe C:\windows\system32\wintems.exe C:\windows\system32\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\down
Вот такая напись появляется, когда я скрип вставляю!
Ммм?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Скопировал в блокнот и обратно, получилось!
А запускать скрип как? EXEcute!?
Да, скрипт запускать с помощью Execute.
Ничего лишнего в скрипте быть не должно, так что если через блокнот ничего лишнего не появляется, то копируйте в Avenger скрипт так, т.е. через блокнот.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Они ж в одной папке? второго не найду!
Вот лог №1!
Когда это произошло, после второго скрипта? Вы загрузили последнюю удачную конфигурацию?
Что значит "ЗПУКсРП!" ?
Угу, оно и есть! Как на сленге будет ПОс. Удачная...?
Как система сейчас работает?
Попробуйте теперь удалить AVZ и скачать заново, он запустится?
P.S. из лога Avenger
[quote]Driver "srosa" disabled successfully .
File "C:\windows\system32\drivers\srosa.sys" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.[/quote]
Логи готовы!
[u]Обязательно отключите восстановление системы, как написано в правилах[/u]!
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Down\xxxxxxxxxxxx2.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21473[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Выполните пункт 2 правил (полная проверка новым CureIt!'ом).
Сделайте новые логи.
Как безопасный режим, заработал ?
Ещё не проверял! Щас скрипт сделаю и узнаю.
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
Карантин готов!
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Безопаски не дождался!!
Уже бывало, что ждать надо 5 и больше минут, щас 3 мин. подождал и ребутнулся!
Синевы нет и уже хоросё!:)
Карантину на 10Мб набралось:)
Да вроде я уже советовал, а вы я вижу не взяли на вооружение главный антивирус - limited user + раумное хождение по сайтам используя firefox+noscript
Честно сказать, после такой молотилки как у вас, я бы всё начисто смёл- и начал новую жизнь по новым законам;)
Эх, безопаску бы.....
выполните скрипт ...
[code]
begin
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
Безопаска народилась, спасибо!
ТОкмо... время выключения стремится к бесконечности....
5 мин. ждал, потом резетнул.
Cureit поставил на автозагрузку, антивиря-то нет....
и идей никто не подкидывает....
ИМХО, Nod32 мне больше всего подходит....
Разных модификаций тока много.... КАКАя получше и удобней будет!?
Ммм?
[url]http://virusinfo.info/showthread.php?t=1550[/url]
Такая просьба, у Вас есть в папке C:\Avenger архив? Если есть, пришлите его пожалуйста нам сюда: [url]http://virusinfo.info/upload_virus.php?tid=21473[/url] (это копии удаленного червя). После отправки, у себя можете этот архив удалить.
Отправил! там на 2.5 мб!