ну, что я опять пропустил...
ну, что я опять пропустил...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да прийдется изголятьсяСообщение от V_Bond
ну, что я опять пропустил...
после удаления a347bus.sys и a347scsi.sys бигл перестал восстанавливаться! Интересно
Сейчас попробую безопасный режим запустить
Первый комп к интернету можно подключать? чтобы выкачивать AVZ?
На втором компе только что нашел тоже бигл только 206, видимо он мне и не давал номарльно донести до первого компа avenger, hijackthis и combofix.
В общем выполняйте эти рекомендации http://virusinfo.info/showpost.php?p...0&postcount=26 открывайте новую тему.
файл реестра не помогает, не получается запуститься в безопасном режиме, комп перезагружается.
Борьба с биглом на этом закончилась?
Скачайте теперь снова football.pif (я его Вам присылал) и попробуйте запустить в обычном режиме и выполнить рекомендации из поста номер 4.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
хорошо, попробую
первый комп к интернету подключать можно чтобы скачать и запустить или на втором качать?
Какая разница, у Вас же оба заражены?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
загрузил с первого, запускаю... читаю что предлагают выбрать, примерно через 3 секунды закрывается само. Запустил еще раз, сразу нажал OK. Увидел основное окно, начал тянуться к меню, снова закрылось. Примерно через 3 секунды закрывается само.
ок давайте сменим файлик
Качаем этот
Качаем-выполняем-пробуем зайти в безопасный режим-выполняем скрипт
Проверьте почту, я Вам скинул hockey.pif
это переименованный IceSword
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Удалите AVZ, скачайте его заново и попробуйте запустить.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Скачал, выполнил.
Получилось зайти в безопасный режим, запустил avenger и скрипт в нем.
Предложил перезапуститься, при перезагрузке выбрал нормальный режим. Видимо в этом и была моя ошибка. Винда запустилась, открылся лог авенджера, в нем есть записи о том что снова были найдены и удалены файлы srosa.sys, hldrrr.exe, mdelk.exe. И все с начала... Бигл на месте, безопасный режим не запускается. И этот экзешник не может теперь отработать...
Я так понял нужно по возможности войти в безопасный режим и больше не загружаться в нормальный?
Добавлено через 1 минуту
сейчас попробую. восстановление системы было выключено, вот только я не могу зайти в папку system voluem information для того чтобы убедиться, что там пусто
Последний раз редактировалось graham; 30.04.2008 в 15:52. Причина: Добавлено
ComboFix скачанный остался? Давайте ещё сделаем вот так.
Скачайте ещё раз ComboFix по одной из ссылок ссылка1, ссылка2, ссылка 3
Во время загрузки, когда Вам предложат сохранить файл переименуйте Combofix в Combo-Fix. Очень важно что бы Вы переименовали именно перед сохранением файла на диске а не после.
Не переименовывайте Combofix во что либо иное.
Теперь нужно установить Консоль восстановления. Загрузите с Microsoft's website => http://support.microsoft.com/kb/310994
Для загрузки выбирете Вашу операционную систему чистая XP, XP Service Pack 1, Service Pack 2
Сохраните файл под тем именем под которым он будет загружаться. после этого переместите Combofix.exe, Combo-Fix.exe и файл содержащий консоль восстановления в корень диска С (это необходимо так как пути содержащие кирилицу не поддерживаются).
Выгрузите все антивирусные и анти-вредоносные программамы, чтобы они не нарушали работу ComboFix.
Теперь закройте все окна и программы, а затем перетащите установку пакета на ComboFix.exe и положите сверху на него.
Следуйте инструкциям, примите договора о Лицензионном соглашении конечного пользователя для установки Консоли восстановления Microsoft.
Когда установка консоли будет завершена, закройте все открытые браузеры.
Дважды щелкните на Combo-Fix.exe и следуйте инструкциям на экране.
После окончания сканирования, он должен создать лог. Сохраните этот лог на рабочем столе в Combofix.txt и прикрипите его в Вашему следующему сообщению. (Лог также можно найти по адресу C: \ Combofix.txt)
По ссылке на microsoft там не консоль, а дискеты. Скачал. Не понял что делать с комбофиксом. Скачать один файл как combofix, второй сохранить как Combo-Fix.exe, оба скинть на C:\ вместе с файлом от майкрософта и перетащить экзэшнить от майкрософта на Combo-Fix?
Добавлено через 9 минут
что-то не получилось ни перетащить ни просто запустить...
первая машина похоже после общения с интернетом обновила вирус и теперь совсем медленно что-то открывает\закрывает\удаляет
в интернете с ней уже ничего не сделать
Последний раз редактировалось graham; 30.04.2008 в 16:59. Причина: Добавлено
Теперь раскажите по этапам, что делали и что происходило...на тестовой машине сработало на ура.
Скачал WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe,
Скачал combofix -> Combo-Fix.exe. оба файла скопировал на диск C.
Попробовал перетащить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ничего не произошло. Попробовал запустить WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, ошибка. Это я пробовал сделать на второй машине. Похоже она не может выкачивать файлы нормально.
Сейчас удалось на первой машине выкачать hockey.pif, запустил. Попробую все сделать как написал kps, после отпишусь.
Добавлено через 14 минут
был только hldrrr.exe
были, удалил
не было
удалил
удалил
не было
есть, в ней есть ключ First12ru123n пока не трогал
ключа srosa нет, но есть ключи DisplayName, ErrControl, Start, Type... Есть ключ ImagePath с параметрами на c:\windows\system32\drivers\srosa.sys
Последний раз редактировалось graham; 30.04.2008 в 17:52. Причина: Добавлено
Combofix сразу переименовали или после закачки?
Ключ FirstRRRun можете смело удалять, это от червя. Неважно, что там внутри.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Кликнул по ссылке, открылось диалогоое окно на сохранение, там указал путь и имя файлы Combo-Fix.exe. Т.е. до закачки, перед сохранением.
Добавлено через 43 секунды
Ключ отображается как папка?
Последний раз редактировалось graham; 30.04.2008 в 18:02. Причина: Добавлено
Да.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) graham, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
