WinXP SP2, AVP 6.
Вчера АВП умер и больше не загружлся, при попытке загрузиться в безопасный режим выкидывает BSOD, при попытке установить какой либо антивирус установка завершается с ошибкой. Exe файлы всех известных мне антивирусов этот вирус портит вследствии чего при попытке их запустить вылетает ошибка "Не является приложением Win32". Загрузка Cureit проходит удачно если изменить название конечного файла на чтото другое, например ci.exe. Но при запуске проверки программа работает секунд 15 и закрывается.
Тоже самое происходит и с AVZ меняем имена exe и запускаем, 15 секунд и close, при распаковке архива, не разорхивируются 5 файлов базы. При попытке запустить в нём проверку на вирусы отвечает ошибкой.
Через какое то время отпадает интернет (сразу или через минуту по разному).
З.Ы. Логи выложить не могу т.к. в AVZ меню "Файл"=>"Стандартные скрипты" пусто, помогите кто чем может, заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы, как написано в правилах (если еще не отключено), очистите кеш интернета.
hockey.pif это переименованный IceSword.
Скачайте отсюда: http://www.megaupload.com/?d=AUGYD37C
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.
Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.
Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.
Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Удалите AVZ и скачайте заново. Попробуйте сделать логи и прикрепить.
Червь Bagle (который противодействовал антивирусам) удален (в логах не виден), но может еще неактивные его файлы где-то завалялись, поэтому выполните на всякий случай еще пункт 2 правил.
ConnectionServices - удалите обязательно через установку/удаление программ, это гадость.
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Безопасный режим работает? Если нет, то выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится. Проверьте, работает ли безопасный режим.
Последний раз редактировалось kps; 07.04.2008 в 14:09.
Причина: Добавлено
Извеняюсь что пропал на долго, свет выключили.
Значит так тему считаю можно закрыть. Безопасный режим грузится.
Карантин выслал согласно приложению 3.
Признаков вируса не наблюдаю, касперский встал нормально.
Спасибо всем кто помог, особенно kps, респект и уважуха.
З.Ы. Нашлись файлы из которых подцепил это чудо, не подскажете куда послать на исследование, а то касперский с новой базой его не ловит, и cureit тоже.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: