-
Junior Member
- Вес репутации
- 59
wintems.exe + mdelk.exe
Скачал с торрента и запустил файл. Дальше как все описано в форумах и энциклопедиях: антивирус помер, сеть стала жить сама по себе, XP в safe mode не загружается, появились описанные просессы, указанные файлы и т.д.
Загрузился с диска, стер
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Еще найти и уничтожить:
windows\system32\drivers\srosa.sys
Потом должна запуститься AVZ........делайте логи
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
wintems.exe + mdelk.exe
Скачал с торрента и запустил файл. Дальше как все описано в форумах и энциклопедиях: антивирус помер, сеть стала жить сама по себе, XP в safe mode не загружается, появились описанные просессы, указанные файлы и т.д.
Загрузился с диска, стер
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe, перезагрузился, почистил реестр, перезагрузился.
Не помоголо. Все "нехорошие" файлы и процессы на месте.
AVZ не запустается даже в переименованном виде, HijackThis не запускается.
Даже не знаю, где копать дальше. Помогите, пожалуйста.
-
Давайте прекратим сначала плодить темы
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Прошу прощения за дубль сообщения...
windows\system32\drivers\srosa.sys - нет такого файла. Даже не знаю, хорошо это или нет
-
Вы смотрели загрузившись с диска?
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Нет, в нормальном режиме.
На настоящий момент: процесс wintems отсутствует, но есть постоянно появляющиеся файлы
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\ban_list.txt
В сети такая штука:
C:\Documents and Settings\anton>netstat -bv
TCP 1c757cf6a461442:11033 206.51.234.156:3704 TIME_WAIT 0
TCP 1c757cf6a461442:11033 208.72.169.213:49823 TIME_WAIT 0
TCP 1c757cf6a461442:11033 208.72.169.213:49413 TIME_WAIT 0
т.е. процесс с pid 0 творит странное.
-
Надо грузиться с диска или консоли востановления и удалять
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Загрузился с диска, убил
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\srosa.sys
Пр перезагрузке XP потребовала снова активацию, активировал.
wintems отсутствует в процессах и пока в в виде файла, mdelk.exe на месте как новенький. И все остальное по старому.
-
Попробуйте так:
1) Отключите восстановление системы как написано в правилах (если еще не отключили).
2) Очистите кеш интернета.
3) Попробуйте удалить папку WINDOWS\system32\drivers\down вместе со всем ее содержимым (если эта папка есть, конечно).
4) Загрузитесь с установочного диска Windows, там зайдите в Консоль Восстановления и попробуйте удалить с помощью команды Консоли del файлы
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
(Альтернатива - удалить их, загрузившись с LiveCD)
После этого AVZ должна заработать. Если заработает, то сделайте логи по правилам и прикрепите.
-
-
Junior Member
- Вес репутации
- 59
Спасибо, буду пробовать, завтра напишу, что там получилось.
-
Junior Member
- Вес репутации
- 59
kps: почти мистическая фигня происходит: на зараженном компьютере нет (исчезла/не было?) закладки "восстановление системы".
Скриншот:
http://img85.imageshack.us/img85/2121/assej8.jpg
А на рабочем ноуте все на месте, все в порядке.
Или это какая-то совсем адская модификация вируса или я идиот
Если просто загрузиться с CD и вынести
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe,
то после перезагрузки все по прежнему.
-
Сообщение от
Rosso
kps: почти мистическая фигня происходит: на зараженном компьютере нет (исчезла/не было?) закладки "восстановление системы".
это легко восстановить ...
Сообщение от
Rosso
Если просто загрузиться с CD и вынести
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe,
то после перезагрузки все по прежнему.
как вы "выносите " ?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
как вы "выносите " ?
загружаюсь с CD с утилитами, одна из них - типа файловый менеджер для NTFS, перехожу с соответствующий каталог, нахожу "не нужный" файл, удаляю его: del windows\system32\wintems.exe и т.д., убеждаюсь, что его больше нет (dir)...
А как восстановить закладку, чтобы запретить восстановление?
-
del windows\system32\wintems.exe - не сработает ...
del c:\windows\system32\wintems.exe - сработает .... или какой у вас там диск
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
del windows\system32\wintems.exe - не сработает ...
del c:\windows\system32\wintems.exe - сработает .... или какой у вас там диск
прошу прощения, вы правы. я не точно привел output, но суть от этого не меняется: в данном режиме файлы удаляются ( я потом проверяю, что таки да - исчезли), но при загрузке штатной XP все становится по прежнему.
-
еслс вы не видите файла - это не значит что его нет ....
-
-
Junior Member
- Вес репутации
- 59
V_Bond:
"- Видишь суслика?
-Нет.
-И я не вижу. А он есть."
А что делать-то, господа?
Или проще не тратить свое и ваше время и просто переставить XP? Как будет рациональнее?
-
Попробуйте так:
Скачайте IceSword отсюда.
Посмотрите рекомендации по удалению багля здесь:
http://www.viruslist.com/ru/viruses/...rusid=21780028
Через IceSword почистите реестр в безопасном режиме.
Удалите через IceSword файлы
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
force delete и перезагрузка.
-
-
2 Rosso ,чудес не бывает ... у вас похоже диск линуксовый с "поддержкой" нтфц ....
-