-
Junior Member
- Вес репутации
- 59
hdlrrr.exe
загрузил одну прогу, в которой Symantec End Point обнаружил 2 вируса, по-моему троян-доунлодеря, SEP удалил их (?), но потом SEP перестал работать нормально (не грузится при старте, нет в трее...) . После ентого заметил что при старте системы грузится hldrrr.exe в дисп.здч -жрал ~58. Проц я этот удалял всякий раз.
Вот еще какие странности заметилл:
1. Делал все по правилам. грузился в обычном режиме, т.к. в б/опасном не получалось (система просила за это прощения на английском). Кстати Dr.Web удалил файл hldrrr.exe.
2. SEP не раьотает , его файлы как бы на месте но у Application файлов отсутствует фирменная иконка, вместо нее-белый квадрат в синей рамке.
3. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
В инете я сейчас только с брандмэром Windows, без АВ.
Буду благодарен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msoft98.sys','');
StopService('srosa');
DeleteService('srosa');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После ребута карантин закачайте по правилам, повторите логи
-
-
Junior Member
- Вес репутации
- 59
Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com
логи:
-
Сообщение от
rafik
Т.к. была ошибка во время проверки AVZ по 8 пункту, я переименовал AVZ.exe в RAFI.com
это правильно . Как проходит полёт?
Выполните еще такой скрипт
Код:
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\drivers\msoft98.sys');
BC_Activate;
RebootWindows(true);
end.
Если файл попадет в карантин-закачайте его, если нет - попробуйте найти и добавить его согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 59
полет-нормально!
непонял, какой файл имеете ввиду . пока скрипт не выполнял.
-
Сначала выполните скрипт,если в карантин он(msoft98.sys) не захочет,пришлите его согласно приложению 2 правил.
-
-
'C:\WINDOWS\system32\drivers\msoft98.sys' - вот этот файлик.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
-
-
-
Junior Member
- Вес репутации
- 59
поиск скриптом, вручную, с маской * ничего не обнаружил. у вируса супер маскировка!
-
Сообщение от
rafik
у вируса супер маскировка!
Может это и не вирус вовсе. Просто информация о файле в гугле практически остсутствует, поэтому было бы интересно на него посмотреть.
-
-
Junior Member
- Вес репутации
- 59
а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
2. и можно ли установить новый АВ, какой лучше Symantec End Point? AVG? Касперский? и как удалить все файлы старого
3. прав-но ли что svchost.exe в дисп. задач аж 7!
4. AVZ находил 3 файла, подозреваемых на троян -их удалять или что...
-
Сообщение от
rafik
а как быть с этим :
1. в "свойства пакпки"/"вид" не показываются радио-кнопки "вкл/выкл показ скрытых файлов".
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проблема осталась?
-
-
Сообщение от
rafik
можно ли установить новый АВи
Можно, если Вы не удовлетворены старым.
какой лучше Symantec End Point? AVG? Касперский?
Какой лучше - сказать нельзя, т.к. это зависит от того, для чего используется ПК, какие рабочие приложения установлены, какое железо.... Скачайте триалки и погоняйте в течение срока триальной версии, оставьте тот, какой с Вашей системой лучше уживется.
как удалить все файлы старого
Насчет этого посетите сайт производителя и проконтактируйте с его службой поддержки.
Последний раз редактировалось Rene-gad; 08.04.2008 в 13:49.
Причина: очепятка...
-
-
Еще поищите в IceSword'е http://virusinfo.info/showthread.php?t=17109 файлы
C:\WINDOWS\system32\drivers\msoft98.sys
C:\WINDOWS\system32\DRIVERS\a.sys
и если есть, скопируйте их, как написано в инструкции. Скопированные файлы пришлите нам в архиве с паролем virus по этой ссылке http://virusinfo.info/upload_virus.php?tid=21168
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
проблема осталась
Rene-gad,
спасибо!
-
скачайте архив по ссылке: http://vc.kiev.ua/vc/download/vc405sw.zip
распакуйте в новую папку, запустите файл vc.com и поищите файлы (Поиск Alt+F7).
-
-
Junior Member
- Вес репутации
- 59
kps
ошибка при открытии IceSword:
-
IceSword не работает в защищ. режиме. Да, и еще Симантека надо отключить, он мешать может.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
я в обычном, если вы про safe mode.
Добавлено через 6 минут
vc405sw ничего не нашла
Последний раз редактировалось rafik; 08.04.2008 в 14:17.
Причина: Добавлено