-
Junior Member
- Вес репутации
- 59
Trojan-Downloader.Win32.Bagle.jv
Доброй ночи)
Засел этот вирусняк. Симптомы как тут - http://virusinfo.info/showthread.php?t=17518
Блокирует антивирусные программы - при запуске ативируса пишет "....exe не является приложением win32".
Сэйв мод - синий экран.
Почистил в ручную реестр и хдд от этой гадости. Но не помогло.
Скачал AVPTool. Он ничего не нашел. После перезагрузки все тоже самое. Опять прогнал AVPTool. он нашел
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
Удалил. перегрузил. И нифига.
Когда открывал архив avz. Эта гадость даже там хотел экзешник заменить.
Скачал Live CD. Запустил. Невидит харды. Забыл, что рэйд стоит((
З.Ы. В диспечере задач этой гадости нету. В автозагрузке тоже. Уже пол дня секасом занимаюсь)) Устал
Последний раз редактировалось Schmerz; 17.02.2008 в 23:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте ... попробуйте запустить ... и удалить
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
-
-
Junior Member
- Вес репутации
- 59
IceSword.exe не запускается
из выше перечисленного есть только
windows\system32\mdelk.exe
З.Ы. Антивирус не стоял(
Гадость появилась после этого файла - http://www.virustotal.com/ru/analisi...9512f079efa16c
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
rubin
LiveCD есть? или аналог?
Скачал Live CD. Запустил. Невидит харды. Забыл, что рэйд стоит((
-
совсем плохо .... пробуем запустить
-
-
Junior Member
- Вес репутации
- 59
не запускается
mdelk.exe удаляться не хочет( Unlocker не помог
-
Этот mdelk.exe и другие на каком диске? C:\ ?
-
-
Junior Member
- Вес репутации
- 59
Есть только mdelk.exe. он на C:\
-
Очистите кеш интернета.
Зайдите в AVPTool на закладку "Ручное лечение", скопируйте и вставьте туда следующий скрипт и нажмите на кнопку "Выполнить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('srosa');
SetServiceStart('srosa', 4);
DeleteService('srosa');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
QuarantineFile('C:\WINDOWS\system32\mdelk.exe','');
DeleteFile('c:\windows\system32\drivers\srosa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\mdelk.exe');
DeleteFileMask('c:\WINDOWS\system32\drivers\down', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки компьютера загрузите карантин по ссылке вверху темы (по правилам).
Последний раз редактировалось kps; 18.02.2008 в 10:54.
-
-
Junior Member
- Вес репутации
- 59
Вроде запустил) А долго он колдовать будет?
Такое ощущение, что он ничего не делает
Последний раз редактировалось Schmerz; 18.02.2008 в 00:42.
-
скорее он не работает ....
-
-
Junior Member
- Вес репутации
- 59
дык если удалю mdelk.exe, то все нормально станет?
-
Выполните в AVPtool такой скрипт:
Код:
begin
BC_DeleteFile('c:\windows\system32\drivers\srosa.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\mdelk.exe');
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте лог AVPTool.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
не выполняется(
когда сую диск с виндой в сдром. винда говорит, что диск чистый)))) жесть
когда монтирую в ДТ любой образ в том числе с виндой. винда говорит, что диск чистый))))
руки отровать тому, кто этот вирус написал)
Добавлено через 55 минут
И дискеты не форматируются тут))))
Удалил из под доса mdelk.exe.
симптомы прежние((
Запустил AVPTool на полную проверку. Часа 3-4 займет)
А может быть такое, что эта зараза сидит в системе как драйвер?
Последний раз редактировалось Schmerz; 18.02.2008 в 13:12.
Причина: Добавлено
-
Наверняка есть руткит-драйвер srosa.sys (противодействует антивирусам), который запускается как сервис "srosa".
Есть такое предложение, загрузиться с установочного диска Windows, зайти в Консоль Восстановления и удалить следующие файлы:
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
-
-
Junior Member
- Вес репутации
- 59
C:\WINDOWS\system32\mdelk.exe это тока удалил.
Остальные из под винды не видно
Ща грузанусь.
-
А если из Консоли Восстановления? С помощью команд Консоли?
Сообщение от
Schmerz
C:\WINDOWS\system32\mdelk.exe это тока удалил.
Остальные из под винды не видно
А остальные могут быть скрыты с помощью руткит-технологий.
Последний раз редактировалось kps; 18.02.2008 в 13:41.
-
-
Junior Member
- Вес репутации
- 59
из Консоли Восстановления удалил c:\windows\system32\drivers\srosa.sys
остальных нету. авз запустился) ура
-
Ну, теперь можете сделать логи по правилам и запостить
-