Опять напали!

[kps]

Ура! Теперь есть шанс удалить Bagle.
Вставьте в окно Avenger "Input script here:" сначала следующий скрипт:

Код:

Comment:
Script to delete the Bagle worm N 1

Drivers to disable:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down

Компьютер перезагрузится (возможно 2 раза).
После перезагрузки откроется лог Avenger. Сохраните его под именем Avenger1.log

Затем откройте редактор реестра:
Пуск - Выполнить - regedit
Посмотрите, есть ли следующие параметры из ключа системного реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Затем запустите Avenger, отметьте галочкой пункт "Automatically disable any rootkits found" и выполните 2-ой скрипт в Avenger

Код:

Comment:
Script to delete the Bagle worm N 2

Drivers to delete:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe

Компьютер перезагрузится.
Открывшейся лог сохраните под именем Avenger2.log
Запакуйте оба сохраненных лога Avenger в архив и прикрепите архив.

[Rick1]

Ок, приступаю!


Чегото...

ОбычныйТерминСписокопределенийАдресЦитатыФорматиро ванныйконецформыначалоформыScript to delete the Bagle worm N 1 Drivers to disable: srosa Files to delete: C:\windows\system32\drivers\srosa.sys C:\windows\system32\drivers\hldrrr.exe C:\windows\system32\wintems.exe C:\windows\system32\mdelk.exe Folders to delete: C:\WINDOWS\system32\drivers\down
Вот такая напись появляется, когда я скрип вставляю!

Ммм?

Добавлено через 3 минуты

Скопировал в блокнот и обратно, получилось!

А запускать скрип как? EXEcute!?

[kps]

Да, скрипт запускать с помощью Execute.
Ничего лишнего в скрипте быть не должно, так что если через блокнот ничего лишнего не появляется, то копируйте в Avenger скрипт так, т.е. через блокнот.

[Rick1]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.


Они ж в одной папке? второго не найду!

[Rick1]

Вот лог №1!

[kps]

Когда это произошло, после второго скрипта? Вы загрузили последнюю удачную конфигурацию?
Что значит "ЗПУКсРП!" ?

[Rick1]

Угу, оно и есть! Как на сленге будет ПОс. Удачная...?

[kps]

Как система сейчас работает?
Попробуйте теперь удалить AVZ и скачать заново, он запустится?

P.S. из лога Avenger

Driver "srosa" disabled successfully .
File "C:\windows\system32\drivers\srosa.sys" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.

[Rick1]

Логи готовы!

[kps]

Обязательно отключите восстановление системы, как написано в правилах!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Down\xxxxxxxxxxxx2.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21473 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Выполните пункт 2 правил (полная проверка новым CureIt!'ом).
Сделайте новые логи.
Как безопасный режим, заработал ?

[Rick1]

Ещё не проверял! Щас скрипт сделаю и узнаю.

Добавлено через 34 минуты

Карантин готов!

Добавлено через 5 минут

Безопаски не дождался!!

Уже бывало, что ждать надо 5 и больше минут, щас 3 мин. подождал и ребутнулся!

Синевы нет и уже хоросё!

[Гриша]

Карантину на 10Мб набралось

[drongo]

Да вроде я уже советовал, а вы я вижу не взяли на вооружение главный антивирус - limited user + раумное хождение по сайтам используя firefox+noscript
Честно сказать, после такой молотилки как у вас, я бы всё начисто смёл- и начал новую жизнь по новым законам

[Rick1]

Эх, безопаску бы.....

[V_Bond]

выполните скрипт ...

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

[Rick1]

Безопаска народилась, спасибо!

ТОкмо... время выключения стремится к бесконечности....
5 мин. ждал, потом резетнул.


Cureit поставил на автозагрузку, антивиря-то нет....
и идей никто не подкидывает....

[Rick1]

ИМХО, Nod32 мне больше всего подходит....

Разных модификаций тока много.... КАКАя получше и удобней будет!?

Ммм?

[V_Bond]

http://virusinfo.info/showthread.php?t=1550

[kps]

Такая просьба, у Вас есть в папке C:\Avenger архив? Если есть, пришлите его пожалуйста нам сюда: http://virusinfo.info/upload_virus.php?tid=21473 (это копии удаленного червя). После отправки, у себя можете этот архив удалить.

[Rick1]

Отправил! там на 2.5 мб!