Добрый день!
В результате запуска исполняемого вредоносного файла и последующей перезагрузки произошло следующее (единственная прога которую смог нормально запустить и использовать для сбора инфы - Security Task Manager):
1. KIS7.0.0.125 более не загружается, "данное приложение не является win32".
2. В списке процессов после загрузки системы из папки windows/system32 появились: wintems.exe,hldrrr.sys, и их производные вида хххххх.exe (где хххххх - всегда цифры) в папке windows/system32/drivers/down.
А также подозрителен: checkweb.dll. Первые три из этих процессов периодически самозапускаются и начинают что-то делать (грузят систему)...
3. После загрузки, в Инет шлются запросы на всякие сайты...
4. Установка любых антивирусов бесполезна, т. к. после перезагрузки их невозможно запустить, "данное приложение не является win32".
5. Перезагрузка в безопасный режим приводит к синему экрану смерти.
6. Запуск AVZ.EXE невозможен, "данное приложение не является win32".
7. Запуск HiJackThis.exe приводит к ошибкам.
8. Большинство нужных программ автозапуска не запускаются при старте системы.
Создал KISом загрузочный диск восстановления и просканировал систему - все время находит вирус-червь wintems.exe, но после удаления и перезагрузки опять все по-старому.
Однако некоторые программы и Инет работает ( оно видимо паразитам тоже нужено ).
Есть ли у меня возможность восстановить все или единственный выход - переустанавливать систему?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачал, ознакомился, запустил Reboot and Monitor. А где смотреть лог этого результата мониторинга?
Далее НЕ ВЫГРУЖАЯ ЗЛОВРЕДОВ сделал все возможные логи. Не все логи сделать получилось... Подскажите, если что не так.... Жду дальнейших указаний... Большое спасибо за участие...
После удаления этих файлов и перезагрузки HLDRRR.EXE появился вновь в списке процессов, создалась папка DOWN и пошел трафик в Инет на всяческие сомнительные сайты. Интересно, как себя восстанавливает этот HLDRRR.EXE? Что и где еще посмотреть?
Поправка: ВСЕ ПРОЦЕССЫ ЗАГРУЖАЮТСЯ ВСЕ РАВНО ПРИ ПЕРЕЗАГРУЗКЕ !!!!
WINTEMS.EXE, HLDRRR.EXE, (123456.EXE и подобные). Я в печали...
И еще: WINTEMS.EXE запускается неким GERMAN.EXE. Последний полезный или его тоже удалить?
Итак, в результате: физич. удаление с диска и записей реестра ни к чему, увы, не приводит...
Последний раз редактировалось vladi; 20.01.2008 в 21:24.
1. Удалил все антивирусы.
2. Удалил файлы.
3. Удалил записи реестра.
4. Перезагрузка.
5. Создал логи по новой. Проблема остается.
6. Утилита AVZ.exe переименовал в Проводнике Nero - и это получилось. Запуск 546.pif привел к сообщению: "данное приложение не является win32".
7. Попытки заархивировать файлы и выслать на указанный адрес неудачны, т. к. эти файлы видятся только в IceSword и их нельзя в нем заархивировать - нет такой команды (или не нашел?). Можно правда скопировать куда-либо, но толку?
Я проделал все действия, правда указанной вами папки не нашел. При перезагрузке все файлы восстанавливаются, их поведение тоже. ИМХО, нет смысла продолжать...
МНЕ УДАЛОСЬ НАЙТИ ИСХОДНЫЙ ЗЛОВРЕДНЫЙ ФАЙЛ КОТОРЫЙ ПРИВЕЛ К ЭТИМ ПЕЧАЛЬНЫМ ПОСЛЕДСТВИЯМ. Я ОТПРАВИЛ ЕГО ВАМ ПО ВЫШЕУКАЗАННОМУ АДРЕСУ ПОД ИМЕНЕМ hldrrrVirus.zip.
С ним надо очень осторожно - начинает плодиться при любом обращении...
Прошу сообщить есть ли смысл бороться дальше или ставить систему заново?
И что мне делать????? Ни один антивирус не поставить, не запустить, удаление вирусных файлов ничего не дает, чистка рееестра тоже. Может есть некая утилитка, заточенная исключительно под данный вирус?
делать тоже самое ..... но не перегружаться .... !!!
после проделанных операций попробуйте запустить свежий Cureit (не перегружаясь) ... и просканировать систему ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: