Win32.HLLP.Beagle

[Johnmen]

Всех приветствую!

Второй день не могу избавиться от этой заразы.
Правила уже наверное знаю наизусть , только толку нет. Потому, что запустить сканирование AVZ или выполнение скрипта не выходит (при обычной загрузки WinXP) - "Cannot open file E:\avz4\BASE\syscheck.avz Не удается найти указанный файл" и "...\scripts.avz ..." соответственно. При попытке обновить базу - "File not found" на операции "Обрабатывается файл neurald.avz".
E - это CD/DVD привод, файлы на нем естественно существуют, диск подготовлен на др.машине.
При загрузке в Safe Mode сканирование с CD запускается нормально, но ни одного вируса не находит.
При всем при этом CureIt! в обычном режиме вирус обнаруживает и лечит. Но он появляется снова. Обычно, как я понял, и у других, это файл wintems.exe или mdelk.exe в system32.
Восстановление системы отключено.

Подскажите, куда рыть дальше.
Спасибо.

[wise-wistful]

Скачайте AVPTool. ВЫбирете самую последнюю по дате и времени. Запустите полное сканирование всех дисков.

[Johnmen]

> wise-wistful

Скачал. Во время инсталляции выкинуто сообщение:
"Ошибка при инициализации приложения (0xc000000f). Для выхода из приложекния нажмите кнопку "OK"""
и затем:
"Приложению не удалось запуститься, поскольку prremote.dll не был найден. Повторная установка приложения может исправить эту проблему."

Увы... Не смогла...

[wise-wistful]

Про AVZ не совсем понял она не запускается ни в обычном режиме ни в Safe Mode?

Добавлено через 2 минуты

Хиджак то же лог не создаёт. АВЗ запускали только со съёмного носителя, что ли? АВЗ переименовывали?

[Johnmen]

В SM AVZ работает нормально, только вирусов никаких не находит
А в обычном режиме - ни сканирование, ни выполнение скрипта, ни обновление базы не идет.

[wise-wistful]

Давайте лог от АВЗ в SM, посмотрим, что там. Почему Вы решили что она ничего не находит. Только попробуйте запустить в SM с жёсткого диска, а то если со съёмного лог не сохраняется.

[Johnmen]

АВЗ запускал со съёмного носителя после бузуспешой попытки запустить с HDD - вам, наверное, известное "avz.exe не является приложением Win32"
АВЗ не переименовывал.

[wise-wistful]

Переименуйте АВЗ в какой-то из вариантов test.exe, 123.pif, 555.com. Если с каким-то вариантом не запускается - попробуйте по очереди все варианты, что бы быть уже полностью уверенным.

[Johnmen]

> wise-wistful

Это займет некоторое время, поэтому я завтра продолжу. Обязательно отпишу.

>Почему Вы решили что она ничего не находит.

Потому, что в окне лога ничего про вирусы нет.

Добавлено через 5 минут

Переименование АВЗ, конечно, позволяет запустить, но дальше всё, как описано в теме ветки.

[Bratez]

Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, либо в консоль восстановления, разыскать и удалить следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
После этого AVZ должна заработать.

[Johnmen]

> Bratez

Данный прием я еще раньше вычитал на этом форуме и испробовал.
Результат отрицательный.

[Alex_Goodwin]

В SM AVZ работает нормально, только вирусов никаких не находит

А вы логи дайте - мы посмотрим.

[Johnmen]

> Alex_Goodwin

Правильно ли я вас понял, что интересен лог, полученный при запуске в SafeMode, и при отсутствии обнаружения вирусов?

[Alex_Goodwin]

да, вы поняли правильно.

[Johnmen]

Вот, что удалось получить.
В безопасном режиме - только логи AVZ, в обычном - только лог хайжека.

[Johnmen]

Прошу прощения, в пред.посте не в "безопасном режиме", а при загрузке с LiveCD.
В безопасном режиме выложу чуть позже...

[rubin]

Это логи самого загрузочного диска - они бесполезны

[Alex_Goodwin]

Логи из под BartPE. я имел ввиду логи авз из безопасного режима.

[Bratez]

Базы AVZ необходимо обновить.

[Alex_Goodwin]

попробуйте сделать логи вот этим