Показано с 1 по 20 из 20.

hldrrr.exe, srosa.sys, Megadrv3, wintems.exe и понятный результат (заявка № 18196)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39

    Thumbs up hldrrr.exe, srosa.sys, Megadrv3, wintems.exe и понятный результат

    Обстановка:

    На пункте правил общения:
    4. Распакуйте из архива и поместите в новую отдельную папку.
    * Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.

    Происходит
    "Ошибка в ходе автоматического обновления - Загруженный файл поврежден - neurald.avz"

    Открываемый на пункте 8
    8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку

    напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!"

    virusinfo.info".
    набор возможностей — пустой

    10. Тоже пустой экран без возможности выбрать скрипт.


    11. Пункт
    Делаю и получаю сообщение:

    ---------------------------
    HijackThis
    ---------------------------
    Please help us improve HijackThis by reporting this errorClick 'Yes' to submitError

    Details: An unexpected error has occurred at procedure:

    modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell)Error #5 - Invalid

    procedure call or argumentWindows version: Windows NT 5.02.3790MSIE version:

    6.0.3790.3959HijackThis version: 2.0.2
    ---------------------------
    Yes No
    ---------------------------


    Делаю Yes


    Чере пару секунд новое сообщение:

    ---------------------------
    HijackThis
    ---------------------------
    Please help us improve HijackThis by reporting this errorClick 'Yes' to submitError

    Details: An unexpected error has occurred at procedure:

    modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)Error #5 - Invalid

    procedure call or argumentWindows version: Windows NT 5.02.3790MSIE version:

    6.0.3790.3959HijackThis version: 2.0.2
    ---------------------------
    Yes No
    ---------------------------

    Yes



    финально получившийся лог прилагаю.


    -----


    Из незодрового на компе можно видеть:
    Запущенный Megadrv3 в диспетчере среди скрытых устройств, если его попытаться остановить

    кнопкой Stop - система моментально вывалится и начнёт загружаться с нуля.

    При экспресс проверке переименованным CureIT в виндовой папке есть "будут залечены после

    перезагрузки" файлы инфицированные Win32.HLLM.Beagle

    srosa.sys
    wintems.exe

    Находящийся (судя по промелькивающим сообщениям в статус баре) в памяти hldrrr.exe

    вирусятиной не считается и "вирусов в памяти" нет

    При полной проверке CureITом во время прохождения по диску С: система в какой-то момент

    вываливается и следует загрузка операционки с нуля.

    Безопасного режима загрузки больше нет, либо система грузится полноценно, либо во время

    безопасной загрузки вываливается в новую попытку загрузки с самого нуля.

    В логе встроенного аппаратного фаервола в роутере видно, что установленная дрянь

    постоянно пытается достучатся до гуглового почтового сервера.

    AVZ в диспечере процессов показывает руткит hldrrr.exe

    Сделать LiveCD и загрузится с него не получается, софтина для изготовления такового

    pebuilder - не полностью распаковывается из своего архива, а именно убиваются exe файлы

    во время распаковки. Готового загрузочного диска, к сожалению нет
    И вообще дивидиром больше не хочет работать с сидюками. "Диска нет". Хотя Нирой видно что

    на диске есть сессия и все дела, для проводника - диск в приводе отсутствует или в Raw

    формате.

    Spybot - Search & Destroy - больше не работает (не сам, не его резидент в трее TeaTimer),

    так же пробовал выкачать, поставить и воспользоваться NOD32 и Каспера - не удаётся.


    ***

    Вот такие война и манёвры.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Есть LiveCD или аналоги?

  4. #3
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от rubin Посмотреть сообщение
    Есть LiveCD или аналоги?
    Увы
    А попытка сделать его этой софтиной http://www.nu2.nu/pebuilder/
    неудачна. Распаковка архива с софтиной не проходит, вирусятина видимо убивает exe файлы во время распаковки.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    А на другом компьютере не выйдет создать?

  6. #5
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от rubin Посмотреть сообщение
    А на другом компьютере не выйдет создать?
    Эхъ. Вечер. У соседей если - не получится. Поздновато.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Попробуйте это
    http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

    Не запустится - только LiveCD...

  8. #7
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Рекомендованный setup_7.0.0.180_17.02.2008_21-08.exe скачал, как файл с неизвестным именем Касмегаубица.exe, поставил в каталог с неговорящим именем С:\VT. Запустил. Работает (в данный момент включительно)

    Военные хроники.

    Паралельно нашёл в обсуждениях упомянание об
    http://virusinfo.info/showthread.php?t=18202

    IceSword

    Скачал его, как файл с названием
    АйВорт.zip
    переименовал тотал коммандером непосредственно внутри архива в произвольное имя Меч.ехе. Распаковал (без файла справки, а то она IceSword называется, дабы не спугнуть названием) запустил.
    Им удалось прикончить процесс hldrrr.exe. (удалил так же файл wintems.exe этой софтиной)

    Процесса hldrrr.exe теперь нет ни в этом Мече ни в AVZ в его диспечере процессов, в том числе и при обновлении списка процессов

    Megadrv3 в диспетчере среди скрытых устройств - сделал ему анинстал, на предложенную перезагрузку пока не уходил.

    В логе аппаратного фаервола роутера видно, что исходившая от меня бомбардировка почтовых серверов в интернете больше не пытается прорваться.

    Найденная на данным момент вирусятина размещается в картинках в кэше IE
    и в одной из стоявших софтин.

    Неработавшие до сих пор антивиры (их я ставил уже после поражения своей системы описываемой вирусятиной) - так и не заработали. Видимо требуется и перезагрузка и их переустановка. Обновление AVZ тоже пока не пошло, с ошибкой указанной в первом сообщении вываливается. Возможно тоже нужна перезагрузка ОС, которой пока не делал.


    Вот что найдено на данный момент:


    24% - Поиск вирусов : работает
    ------------------------------
    Проверено: 28636
    Обнаружено: 6
    Не обработано: 0
    Запуск: 17.02.2008 22:23:53
    Длительность: 01:47:39
    Завершение: 18.02.2008 5:47:25


    Обнаружено
    ----------
    Статус Объект
    ------ ------
    удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe
    удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\3TO4GXSC\b64_31[1].jpg
    удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_1[1].jpg
    удалено: троянская программа Trojan.Win32.Pakes.bwy Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\8LERZIFC\b64_2[1].jpg
    удалено: троянская программа Trojan-PSW.Win32.Agent.xd Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_1[1].jpg
    удалено: вирус Email-Worm.Win32.Bagle.of Файл: C:\Documents and Settings\Administrator.IVAN\Local Settings\Temporary Internet Files\Content.IE5\C1ZXWY36\b64_31[1].jpg


    События
    -------
    Время Имя Статус Причина
    ----- --- ------ -------
    17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
    17.02.2008 22:44:39 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe не вылечен обработка отложена пользователем
    17.02.2008 22:45:25 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe обнаружено: троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
    17.02.2008 22:46:23 Объект автозапуска: HKEY_USERS\S-1-5-21-2436396261-502557554-2746150336-500\Software\Microsoft\Windows\CurrentVersion\Run\ QDictionary вылечен троянская программа 'Trojan-Downloader.Win32.Bagle.jv'
    17.02.2008 22:46:33 Файл: f:\software\word processors\qdictionary\1.6\qdictionary.exe удален
    17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared обнаружено: новая угроза 'Hidden.Object' (модификация)
    17.02.2008 23:04:37 Файл: C:\Documents and Settings\Administrator.IVAN\Application Data\Symantec\Shared не вылечен обработка отложена пользователем


    Статистика
    ----------
    Объект Проверено Опасных объектов Не обработано Удалено Помещено на карантин Архивов Упакованных файлов Защищенных паролем Поврежденных
    ------ --------- ---------------- ------------- ------- -------------------- ------- ------------------ ------------------ ------------
    Все объекты 13176 1 0 1 0 93 35 0 0
    Системная память 3277 0 0 0 0 26 7 0 0
    Объекты автозапуска 548 1 0 1 0 1 21 0 0
    Загрузочные секторы дисков 8 0 0 0 0 0 0 0 0
    Почтовые базы 0 0 0 0 0 0 0 0 0
    Tsy (C 9343 0 0 0 0 66 7 0 0
    Her (X 0 0 0 0 0 0 0 0 0
    Ipsilon (Y 0 0 0 0 0 0 0 0 0


    Параметры
    ---------
    Параметр Значение
    -------- --------
    Уровень безопасности Рекомендуемый
    Действие Запросить по окончании проверки
    Режим запуска Вручную
    Типы файлов Проверять все файлы
    Проверка только новых и измененных файлов Нет
    Проверять архивы все
    Проверка вложенных OLE-объектов все
    Не проверять архивы размером более Нет
    Пропустить файл, если его проверка длится более Нет
    Проверка файлов почтовых форматов Нет
    Проверка архивов, защищенных паролем Нет
    Использовать технологию iChecker Нет
    Использовать технологию iSwift Нет
    Показывать обнаруженные опасные объекты на закладке "Обнаружено" Да
    Поиск руткитов (rootkit) Да
    Расширенный поиск руткитов (rootkit) Нет
    Использовать эвристический анализатор Да
    Уровень эвристического анализа 3


    Quarantine
    ----------
    Статус Объект Размер Добавлен
    ------ ------ ------ --------


    Backup
    ------
    Статус Объект Размер
    ------ ------ ------
    Заражен: троянская программа Trojan-Downloader.Win32.Bagle.jv f:\software\word processors\qdictionary\1.6\qdictionary.exe 698.8 КБ
    Последний раз редактировалось Иван А. Ильин; 18.02.2008 в 00:44.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Выполните в AVPtool такой скрипт:
    Код:
    begin
    BC_DeleteFile('c:\windows\system32\drivers\srosa.sys');
    BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
    BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
    BC_DeleteFile('C:\WINDOWS\system32\mdelk.exe');
    BC_DeleteSvc('srosa');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог AVPTool.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    А всё ещё идёт проверка этим setup_7.0.0.180_17.02.2008_21-08.exe
    Скоро закончится, как я понимаю. 95 % сейчас.

    Пока ждал завершения проверки убил Мечом (IceSword)

    файлы
    system32\drivers\srosa.sys
    system32\drivers\hldrrr.exe
    system32\mdelk.exe


    Ключи реестра
    в ветке
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    Name german.exe Value C:\WIN_2003\system32\wintems.exe
    и hldrrr.exe

    Утилита autoruns (из Sysinternals Suite) показывает srosa в drivers для всех зарегистрированных на машине пользователей. Прибил её для всех "кроме себя", из под активного пользователя она не выбивается. Надеюсь после перезагрузки её может и не будет уже.

    Пока так.


    *****

    Завершилось сканирование.
    В дополнении к найденному ранее нашлось:

    "удалено: троянская программа Trojan-Downloader.Win32.Bagle.jv Файл: X:\User Temp\_tc\Windows XP Video Decoder Checkup Utility 1.0.0.1.exe"
    Вот отсюда видимо все мои беды и выросли, из этого файла, запускал такой днями, был грех…

    Ухожу на перезагрузку.
    Последний раз редактировалось Иван А. Ильин; 18.02.2008 в 06:35.

  11. #10
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Вот лог.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    похоже чисто ...
    но на всякий случай выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\program files\punto switcher\ps.exe','');
     QuarantineFile('c:\program files\magictune premium\magictuneengine.exe','');
     QuarantineFile('c:\program files\google\google desktop search\googledesktop.exe','');
     QuarantineFile('F:\Work\open.txt','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  13. #12
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Вот карантин.

    Open - это мой всегда намеренно открывающийся документ "походу дела", куда всё текущее записывается. Все урлы и айпи в нём - это всё моё, не вирус писал.


    ***

    Не вижу что-то настройки, а как сделать что бы Касперский Вирус Ремовал Тул перестал запускаться каждую перезагрузку?
    Вложения Вложения
    • Тип файла: zip virus.zip (134.5 Кб, 6 просмотров)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    что -то не помню что бы в приложении 3 правил ... было написано прикреплять файлы к сообщениям ...

  15. #14
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Точно.
    Загрузил по верхней ссылке.


    Результат загрузки
    Файл сохранён как 080218_044759_avptool_syscheck_47b9625f82650.zip
    Размер файла 159111
    MD5 a1466662e2f715a85585c5e38a0871ec
    Файл закачан, спасибо!

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    в карантине ничего зловредного ....

  17. #16
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Возможность загрузиться в Safe Mode так и не вернулась

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(10);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    17.02.2008
    Сообщений
    10
    Вес репутации
    39
    Ура!
    Вернулся Safe Mode!

    Тут правда случилось неудобство, не знаю, сильно страшное?
    После этого скрипта — вдруг взяла и пропала вся сетевая деятельность. Вплоть до невозможности пинговать внутренние адреса типа 192.168.1.1 и выше.

    Однако вернул сетевую деятельность.

    При загрузке система показала что один из драйверов (или сервисов? не помню) — не загрузился, смотрите, мол, журнал событий.

    В котором, соответственно в одной из крайних записей я прочёл:

    The IPSec driver has entered Block mode. IPSec will discard all inbound and outbound TCP/IP network traffic that is not permitted by boot-time IPSec Policy exemptions. User Action: To restore full unsecured TCP/IP connectivity, disable the IPSec services, and then restart the computer. For detailed troubleshooting information, review the events in the Security event log.
    Ну так и сделал. Выставил сервису IPSec - Disabled и перезагрузился.
    Сеть вернулась.

    Единственное — это не опасно, что я его выключил?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    все нормально ....

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Иван А. Ильин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не получается удалить wintems.exe и hldrrr.exe
      От Kiki в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 04:29
    2. hi, beagle is causing me hell (srosa, hldrrr, mdelk)
      От istola в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 05.12.2008, 10:13
    3. hi, beagle is causing me hell (srosa, hldrrr, mdelk)
      От istola в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 05.12.2008, 08:32
    4. Installator с hldrrr / srosa
      От psw в разделе Сетевые атаки
      Ответов: 11
      Последнее сообщение: 27.02.2008, 16:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00217 seconds with 17 queries