Странное поведение сети. При отключенном кабеле появляется "левое" Local Area Connection для Microsoft TV/Video
Компьютер перегружается при попытке закрыть некоторые приложения, например, Skype.
Невозможно загрузиться в Safe Mode - появляется надпись Press Esc to skip loading d347bus.sys после чего комп перегружается.
Невозможно отключить System Restore для системного диска (для второго раздела получается).
CureIt переименнованный в aaa.exe находит Win32.HLLM.Beagle в с:\windows\system32\drivers\srosa.sys, который обещает вылечить после перезагрузки, но не лечит.
Даже переименованный AVZ не запускается (Ошибка vvv.pif Is not a valid Win32 Application). При этом при попытке распаковать архив с AVZ на системный диск архиваторы выдавали ошибку на файлах вирусных баз: neurald, neuralm, rootkit, scripts, syscheck, susipu. В результате успешно распаковал на второй раздел.
Кстати, попытка установить Kaspersky Internet Security успехом не увенчалась.
Прошу совета с запуском AVZ для сбора диагностики.
Последний раз редактировалось neudachnik; 03.02.2008 в 12:38.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, разыскать и удалить следующие файлы: windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
Скорее всего, после этого AVZ будет нормально работать.
Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, разыскать и удалить следующие файлы.
Все оказалось непросто! После удаления переименованный AVZ запускается, но вирусина удаляет scripts.avz и не позволяет скопировать его в каталог из других мест....
Я сделал проверку из пол miniPE, из под которой и удалял файлы. Помогут такие логи или надо все-таки запуститься из под зараженной системы?
Да, я так и думал...
А можно как-нибудь получить стандартные скрипты в тексте, нескомпилированными?
Просто AVZ я запустить могу, но как только пытаюсь открыть стандартные скрипты через его меню, я получаю ошибку, о том, что файл не найден. Ну и он, естественно, оказывается удален с диска.
Переименованная копия стандартных скриптов у меня есть, но как ее выполнить в AVZ я не могу понять...
Кроме трех перечисленных, поищите еще C:\WINDOWS\system32\mdelk.exe, это из той же компании. Если он есть, возможно его удаление изменит ситуацию. Заодно проверьте, не возродилась ли та троица.
Так вот лог Highjack для зараженной системы. AVPtool запускается, но собрать информацию о системе не может, при запуске сканирования или AVZ_CollectSysInfo stopping... или AVZ_CollectSysInfo partialy running... и ничего не происходит.
Да, в systems32 лежит mdelk.exe - грохать его?
После выполнения скрипта компьютер перезагрузится. Загрузите карантин согласно приложения 3 правил. поссылке http://virusinfo.info/upload_virus.php?tid=17471
Посмотрите есть ли такая папка C:\WINDOWS\exefqd - если да то удалите её вместе со всем содержимым
С хост файлом сами эксперементировали?
127.0.0.1 localhost
127.0.0.2 sy
127.0.0.10 ebs
127.0.0.15 oldebs
127.0.0.20 oldicas
127.0.0.25 icas
127.0.0.30 arfine
127.0.0.50 bio
127.0.0.60 luettelo
127.0.0.70 ls
127.0.0.75 ls2
127.0.0.80 ovanes
127.0.0.90 tris
127.0.0.255 php5
127.0.0.160 shava
127.0.0.180 termal
Последний раз редактировалось wise-wistful; 03.02.2008 в 19:29.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: