Скрипт выполнил, но при проверке avz снова нашел этот hldrrr.exe. Снова отказалась запускаться нормальная версия avz, все делал в "game.exe".
CureIt закрывается автоматически.
Карантин отправил, логи прикрепил.
Скрипт выполнил, но при проверке avz снова нашел этот hldrrr.exe. Снова отказалась запускаться нормальная версия avz, все делал в "game.exe".
CureIt закрывается автоматически.
Карантин отправил, логи прикрепил.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportDeletedList; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; SaveLog(GetAVZDirectory + 'B_d.txt'); BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); BC_Activate; RebootWindows(true); end.
Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
И логи по правилам.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
выполните скрипт ....
если не запустится CureIt ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('srosa'); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); DeleteFile('c:\windows\system32\drivers\hldrrr.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\nideiect.com'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
включите AVZGuard и запустите CureIt как доверенное приложение ...
AVZ Guard выдает ошибку "Ошибка AVZ Guard: C000009A".
Логи прикрепил.
boot_clr_B_d.log не создался
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
есть возможность загрузиться с CD ?
вы имеете ввиду загрузочные диски?
да ...
Что именно нужно сделать?
найти и удалить ....
C:\WINDOWS\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
c:\windows\system32\wintems.exe
c:\windows\system32\mdelk.exe
c:\windows\system32\drivers\mdelk.exe
затем новые логи ...
Что-то не могу использовать загрузочные диски (у меня всякие "системные" и установочные windows), там, конечно есть файловые менеджеры и dos, но жесткий диск они не видят. Может быть, есть какие-нибудь общеизвестные загрузочные образы для cd\dvd? Флоппи у меня нет
Выполните такой скрипт, он немного изменен:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportDeletedList; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); RebootWindows(true); end.
Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выполнил скрипт. После перезагрузки вылезло окошко: "Select file to crack" с выбором exe, а потом появилось синее окно, ошибка *** STOP: 0x000000F4 (0x00000003, 0x8A695FDA0, 0X8A695F14, 0x805D2970). Какие логи сделать?
boot_clr_B_d.log не создался.
А этот B_d.txt ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Прикрепляю b_d.txt
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Не понятно, почему не создался лог Бутклинера... Прогоните скрипт из поста номор 31 еще раз и после перезагрузки прикрепите получившиеся логи (в том числе boot_clr_B_d.log, если есть). Кроме того прикрепите новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Скрипт выполнил - перезагрузка и снова это окно про crack. Выполнял syscheck и проверку hijackthis при этом окне. Бутклинер не создан.
Еще заметил, что вирус как будто препятствует копированию avz на компьютер: с флэшки работает, но при копировании пишет "файл такой-то не найден".
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
принтскрин окошка сделайте ....
Сделал, вот ссылка:
http://www.ljplus.ru/img4/x/_/x_wing...en-crack-1.GIF
Окошко вроде самое обыкновенное.
Пилюли почему-то все забыли, а надо
C:\WINDOWS\aticlocklib.dll - обычно не то место где должно лежать- надо на всякий случай копию прислать.Код:begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); RebootWindows(true); end.
также попробуйте запустить экспериментальную версию avz- у меня в подписи и с ней сделать логи.
Последний раз редактировалось drongo; 19.05.2008 в 21:22.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Червь у Вас видимо в автозапуске еще остался.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZGuardStatus(True); QuarantineFile('appmgmts.dll',''); QuarantineFile('C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe',''); QuarantineFile('C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe',''); QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe',''); QuarantineFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe',''); QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe',''); QuarantineFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe',''); QuarantineFile('C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe',''); QuarantineFile('C:\Program Files\Common Files\Seagate\Schedule2\schedhlp.exe',''); QuarantineFile('C:\Program Files\QuickTime\QTTask.exe',''); QuarantineFile('C:\Program Files\RSSoft\RedSwoosh.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) X-winger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.