Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 59.

Подозрение на Win32.HLLM.Beagle.216 (заявка № 23016)

  1. #21
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Скрипт выполнил, но при проверке avz снова нашел этот hldrrr.exe. Снова отказалась запускаться нормальная версия avz, все делал в "game.exe".
    CureIt закрывается автоматически.
    Карантин отправил, логи прикрепил.
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    SaveLog(GetAVZDirectory + 'B_d.txt');
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
    И логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('srosa');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
     DeleteFile('H:\autorun.inf');
     DeleteFile('H:\nideiect.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    если не запустится CureIt ...
    включите AVZGuard и запустите CureIt как доверенное приложение ...

  5. #24
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    AVZ Guard выдает ошибку "Ошибка AVZ Guard: C000009A".
    Логи прикрепил.

    boot_clr_B_d.log не создался
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  6. #25
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    есть возможность загрузиться с CD ?

  7. #26
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    вы имеете ввиду загрузочные диски?

  8. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да ...

  9. #28
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Что именно нужно сделать?

  10. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    найти и удалить ....
    C:\WINDOWS\system32\drivers\srosa.sys
    c:\windows\system32\drivers\hldrrr.exe
    c:\windows\system32\wintems.exe
    c:\windows\system32\mdelk.exe
    c:\windows\system32\drivers\mdelk.exe
    затем новые логи ...

  11. #30
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Что-то не могу использовать загрузочные диски (у меня всякие "системные" и установочные windows), там, конечно есть файловые менеджеры и dos, но жесткий диск они не видят. Может быть, есть какие-нибудь общеизвестные загрузочные образы для cd\dvd? Флоппи у меня нет

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните такой скрипт, он немного изменен:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #32
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Выполнил скрипт. После перезагрузки вылезло окошко: "Select file to crack" с выбором exe, а потом появилось синее окно, ошибка *** STOP: 0x000000F4 (0x00000003, 0x8A695FDA0, 0X8A695F14, 0x805D2970). Какие логи сделать?

    boot_clr_B_d.log не создался.

  14. #33
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    А этот B_d.txt ?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #34
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Прикрепляю b_d.txt
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  16. #35
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Не понятно, почему не создался лог Бутклинера... Прогоните скрипт из поста номор 31 еще раз и после перезагрузки прикрепите получившиеся логи (в том числе boot_clr_B_d.log, если есть). Кроме того прикрепите новые логи, начиная с пункта 10 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #36
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Скрипт выполнил - перезагрузка и снова это окно про crack. Выполнял syscheck и проверку hijackthis при этом окне. Бутклинер не создан.

    Еще заметил, что вирус как будто препятствует копированию avz на компьютер: с флэшки работает, но при копировании пишет "файл такой-то не найден".
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  18. #37
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    принтскрин окошка сделайте ....

  19. #38
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Сделал, вот ссылка:
    http://www.ljplus.ru/img4/x/_/x_wing...en-crack-1.GIF
    Окошко вроде самое обыкновенное.

  20. #39
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Пилюли почему-то все забыли, а надо
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
    RebootWindows(true);
    end.
    C:\WINDOWS\aticlocklib.dll - обычно не то место где должно лежать- надо на всякий случай копию прислать.
    также попробуйте запустить экспериментальную версию avz- у меня в подписи и с ней сделать логи.
    Последний раз редактировалось drongo; 19.05.2008 в 21:22.

  21. #40
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Червь у Вас видимо в автозапуске еще остался.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe','');
     QuarantineFile('C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe','');
     QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe','');
     QuarantineFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe','');
     QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe','');
     QuarantineFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe','');
     QuarantineFile('C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe','');
     QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedhlp.exe','');
     QuarantineFile('C:\Program Files\QuickTime\QTTask.exe','');
     QuarantineFile('C:\Program Files\RSSoft\RedSwoosh.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) X-winger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 3 Первая 123 Последняя

    Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:26
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. Подозрение на Win32.HLLM.Beagle.210
      От bumt в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.04.2008, 21:00
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00256 seconds with 17 queries