C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
C:\WINDOWS\system32\mdelk.exe
Зараженный объект: Email-Worm.Win32.Bagle.of
вот такая зараза, убить уже не могу дней 20-ть, антивирусы конечно не запускаются, только есть результаты проверки kaspersky on-line
[url]http://virusinfo.info/showthread.php?t=1235[/url]
[quote=V_Bond;216129][URL]http://virusinfo.info/showthread.php?t=1235[/URL][/quote]
что такое, я читал
АВЗ то же не запускается?
[quote=wise-wistful;216131]АВЗ то же не запускается?[/quote]
да, да, да ни АЗВ, ни Доктор, удалить через Анлокер не получается (пользовался и аналогом)
Скачайте переименованный [url=http://wise-wistful.ifolder.ru/6132900]IceSword[/url] (его exe-файл в hockey.pif)
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
[quote=wise-wistful;216134]
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
[/quote]
Не понятно, удалять надо было оттуда из DOWN папки???
Нет не из папки, а папку WINDOWS\system32\drivers\down
[quote=wise-wistful;216147]Нет не из папки, а папку WINDOWS\system32\drivers\down[/quote]
понял всю папку...
Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.
[b]down[/b] именно так папка называется. Имя иногда немного другое если не понятно то уточните. Не удалите папку [b]drivers[/b] случайно.
[quote=wise-wistful;216134]
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.[/quote]
Снова не понятно SROSA удалять всю папку???
[quote=Bratez;216149]Неплохо бы как-нибудь и нам прислать по правилам копии удаляемых.[/quote]
Bratez что именно??? и как
[quote=ZerLu;216153]Снова не понятно SROSA удалять всю папку???[/quote]
Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
А отдельное поименованное значение называется "параметр".
[quote=ZerLu;216153]Bratez что именно??? и как[/quote]
Я имел ввиду перечисленные 4 файла и содержимое папки down.
В IceSword в контекстном меню файла есть пункт "Copy to...".
вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
[quote=ZerLu;216156]вот что у меня в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa[/quote]
Очень хорошо, вот всю эту "папочку" [b]srosa[/b] и надо удалить.
[quote=Bratez;216154]Да, в реестре понятие "ключ" означает подраздел, т.е. как бы "папку".
А отдельное поименованное значение называется "параметр".
[/quote]
... и так я УДАЛЯЮ "папочку" SROSA ???
Именно так. Просто надо понимать, что ключ реестра это на самом деле не папка, а запись в системной базе данных, только и всего.
[quote=Bratez;216154]
Я имел ввиду перечисленные 4 файла и содержимое папки down.
В IceSword в контекстном меню файла есть пункт "Copy to...".[/quote]
... всё srosa больше нет, а что теперь будем делать с этим???
[quote=ZerLu;216163]... всё srosa больше нет, а что теперь будем делать с этим???[/quote]
Ну если вы уже сделали force delete для
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
и содержимого папки down, то поздно, копий нам уже не видать.
[quote=Bratez;216166]Ну если вы уже сделали force delete для
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
и содержимого папки down, то поздно, копий нам уже не видать.[/quote]
жаль... не обессудьте.
Ладно, я думаю у вас не последний экземпляр ;)
Ну теперь пора попробовать запустить AVZ и сделать логи.
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
Перезагрузиться не забыли?
вроде всё, заработал звук (УРА!!!), сейчас попробую поставить антивирь NOD32
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[quote=Bratez;216170]Ладно, я думаю у вас не последний экземпляр ;)
Ну теперь пора попробовать запустить AVZ и сделать логи.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 50 секунд[/I][/B][/COLOR][/SIZE]
Перезагрузиться не забыли?[/quote]
перезагрузился, а теперь AZV
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=Bratez;216170]Ладно, я думаю у вас не последний экземпляр ;)
Ну теперь пора попробовать запустить AVZ и сделать логи.
[/quote]
Логи это сохранить результаты сканирования и выложить здесь??? а, что значит не последний экземпляр??? есть зараза ещё?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Понял
Запустите AVZ ***. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Диспетчер задач теперь работает нормально (не на 100%)
[quote] есть зараза ещё?[/quote]
Имелось ввиду, что кто-то ещё может подхватить подлеца и тогда возьмём экземпляры.
Скрипт лечения/карантина и сбора (virusinfo_syscure.zip) вот он... там в папке есть еще
теперь перезагрузка и это
"[COLOR=brown][B]10. [/B][/COLOR]Запустите AVZ***. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив [B]"Скрипт сбора информации для раздела "Помогите!" virusinfo.info"[/B]. Нажмите [B]"Выполнить отмеченные скрипты"[/B]. [I]Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscheck.zip[/B]."[/I]
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('present.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\MEI006E.sys','');
QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
QuarantineFile('C:\WINDOWS\System32\DPIO.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
QuarantineFile('C:\Documents and Settings\Aleksander\Application Data\m\flec006.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21586[/url]).
теперь virusinfo_syscheck.zip.
так должно выглядеть???
Да, правильно.
[quote=Bratez;216244]Да, правильно.[/quote]
я всё... что дальше???
Вашего карантина не видно, загрузите его, как написал [b]Bratez[/b].
Восстановление системы отключили?
[quote=Bratez;216230]
Пришлите карантин согласно приложению 3 правил
(загружать тут: [URL]http://virusinfo.info/upload_virus.php?tid=21586[/URL]).[/quote]
выбераю все
[IMG]http://ipicture.ru/uploads/080416/kZYcVREyNP.jpg[/IMG]
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Результат загрузки
Файл сохранён как 080416_033725_virus ZerLu_4805bac596bc9.zip
Размер файла 7030198
MD5 f5c6f23aca6c87b10e6eb21ae0e757ca
Файл закачан, спасибо!
Если еще не отключили восстановление системы - отключите.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\RedSwoosh.cpl','');
QuarantineFile('C:\WINDOWS\present.exe','');
QuarantineFile('C:\WINDOWS\system32\present.exe','');
QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS\system32\BCGCBPRO951u80.dll','');
QuarantineFile('c:\program files\utorrent\utorrent.exe','');
DeleteFile('c:\documents and settings\aleksander\application data\m\flec006.exe');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21586[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи (3 лога).
Для информации: C:\Documents and Settings\Aleksander\Application Data\m\flec006.exe - [b]Email-Worm.Win32.Bagle.of[/b]
[CENTER] [B]Результат загрузки[/B]
Файл сохранён как080416_043020_virus ZerLu_4805c72c3fea7.zipРазмер файла8849309MD56bb933cdea89f06906700302fb496260[B]Файл закачан, спасибо![/B]
[LEFT]Перезагрузил
Прислал
Проблемы устранил
Новые логи???
[/LEFT]
[/CENTER]
Да, ждем 3 новых лога по правилам.
[quote=kps;216312]Да, ждем 3 новых лога по правилам.[/quote]
[I][B]virusinfo_syscure.zip
[/B][/I][I][B]virusinfo_syscheck.zip
[/B][/I]какой третий???
После HJT - hijackthis.log.
hijackthis.log
см. пункт 11 правил и дальше.
понятно, я скоро
[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]
virusinfo_syscure.zip
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
вот virusinfo_syscure.zip
............не получается приложить???
Удалите старые логи через "Мой кабинет"=>"Управления вложениями"
вот получилось