Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Как быть? (заявка № 22264)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40

    Thumbs up Как быть?

    Не могу выполнить ни одно из Ваших требований. Ни AVZ, ни HijackThis не запускаются. Переименованный HijackThis начинает выполнение, но, по-моему, не доводит до конца и лог не создает. Ни одна из антивирусных программ также не запускается. On-line проверка (Kaspersky On-line scanner, Bitdefender) показывает наличие вирусов в системной области. Попытка зпустить CureIt блокируется: нажимаю Пуск и окно программы исчезает. Такое чувство, что какой-то вирус, зная названия антивирусов, просто бокирует их работу. Например, попытка запуска ранее установленных KIS7 и Spybot Search&Destroy дает сообщение "не является приложением Win", а попытка установки новой версии Spybot Search&Destroy - "не могу создать процесс". Что можно сделать?
    P.S. В безопасном режиме система (у меня WinXP SP2) не запускается, восстановление также выполнить не могу. Повторная установка Win (в режиме восстановления) также ничего не дала.
    Последний раз редактировалось kservice; 30.04.2008 в 10:13. Причина: Дополнение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте переименованный IceSword (его exe-файл в hockey.pif)
    Запустите его, зайдите слева в меню "Processes"
    Выберите:
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    И если есть windows\system32\mdelk.exe
    Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

    Потом внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe

    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    параметр называется "drvsyskit", удалите его.

    Найдите параметр
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
    параметр называется "german.exe", удалите его.

    Посмотрите, есть ли ключ реестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun.

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Громадное спасибо, думаю, что направление правильное, но... "Instilized Failed..." Не получается. Файл srosa.sys дважды упоминался при появлении синего экрана, а wintems.exe Bitdefender определял как вирус.

    Добавлено через 1 час 1 минуту

    Вручную удаляю ключ реестра HKEY_CURRENT_USER\Software\FirstRRRun, перезапускаю, загрузка CPU становится нормальной (за последние сутки она все время 100%), но через некоторое время синий экран. Помогите, пожалуйста, а то проблемы идут по нарастающей. Может я неправильно запускаю hockey.pif?Пробовал и из командной строки, и из проводника.
    Других ключей вручную с помощью regedit не обнаружил
    Последний раз редактировалось kservice; 30.04.2008 в 11:41. Причина: Добавлено

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Запустите IceSword.
    Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Оба лога запакуйте в один архив и прикрепите архив.

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Скачайте переименованный IceSword (его exe-файл в hockey.pif)
    Запустите его...
    Он не запускается, ошибка инициализации

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
    Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
    Переименуйте программу в football.pif
    Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):

    Код:
    Comment:
    Script to delete the Bagle worm
    
    Drivers to disable:
    srosa
    
    Files to delete:
    C:\windows\system32\drivers\srosa.sys
    C:\windows\system32\drivers\hldrrr.exe
    C:\windows\system32\wintems.exe
    C:\windows\system32\mdelk.exe
    C:\windows\system32\drivers\mdelk.exe
    c:\windows\system32\hidr.exe
    
    Folders to delete:
    C:\WINDOWS\system32\drivers\down
    C:\WINDOWS\system32\drivers\downld

    Компьютер перезагрузится (возможно 2 раза).
    Прикрепите лог Avenger (он здесь: C:\avenger.txt )

  8. #7
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Ни Win, ни FAR, ни WinCMD не выполняют команду по переименованию файла. Может можно где-то скачать переименованный?

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сейчас переименую и залью куда нибудь.

  10. #9
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Нет слов для благодарности. Спасибо-слишком мало!

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Переименованный Avenger
    Если Avenger не запустится, тогда скачайте этот файл. запустите рег файл, разрешите внести изменния в реестр. перезагрузитесь в безопасном режиме. Если не успели с первого раза перезагрузиться, тогда снова запустите рег файл.
    Выполните рекомендованный скрипт для Avenger.

  12. #11
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Ну никак! Переименованный avenger на 2-3 сек запускается и все. А с файлом safe_boot_XPSP2Pro делаю так: двойной щелчок, предупреждение о внесении изменений в рееестр, нажимаю ОК, сообщение об успешном завершении, нажимаю RESET, F8, выбираю безопасный режим, начинается запуск, через некоторое время до входа в безопасный режим происходит рестарт. И все!!! Пробовал уже в DOS удалить папку Download и srosa.sys. Все бестолку. Ну что еще попробовать? Неужели не добьем эту заразу?

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Попробуйте ещё этот файл а потом попробуйте войти в безопасный режим.

  14. #13
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Спасибо, что Вы еще боритесь. Сейчас попробую.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Попробуйте еще такой переименованный Avenger http://www.megaupload.com/ru/?d=OUCJ5J9F (он уже распакован и переименован в football.pif ). Он запустится?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Попробуйте ещё этот файл а потом попробуйте войти в безопасный режим.
    Пока безрезультатно: в безопасном не грузится. Продолжаю пробовать

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сейчас перевожу одну инструкцию попробуем ещё один метод, если метод предложенный kps не сработает.

  18. #17
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от kps Посмотреть сообщение
    Попробуйте еще такой переименованный Avenger http://www.megaupload.com/ru/?d=OUCJ5J9F (он уже распакован и переименован в football.pif ). Он запустится?
    Запускается, но так быстро закрывается, что толком ничего не успеваю. При попытке вставке текста скрипта, полученного путем копированием из Вашего сообщения, вижу, что вставляется не то, что копировал. Вот так. Попытка записать текст скрипта, а затем его загрузить безрезультатна в силу ограниченности по времени (программа быстрей закрывается, чем я успеваю сделать это)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    У Вас e-mail есть? Напишите его здесь или мне в личку, я Вам кое-что скину.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Отправил в личку. Пробовал удалить с помощью MiniLiveCD. Удалил все, что мог, а результат прежний

  21. #20
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    avenger удалось запустить. Вот лог. Эти файлы я удалял из MiniLiveCD, наверно поэтому он и не смог выполнить скрипт
    Вложения Вложения

  • Уважаемый(ая) kservice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы быть должны! Их не может не быть!
      От Radik в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.11.2008, 10:09
    2. Ответов: 2
      Последнее сообщение: 24.04.2008, 22:05
    3. Замена смайлов: быть или не быть?
      От NickGolovko в разделе Технические и иные вопросы
      Ответов: 40
      Последнее сообщение: 17.12.2007, 20:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01530 seconds with 17 queries