Вирус hldrrr.exe

[Sam33]

Здравствуйте.

Столкнулся с уже известной многим проблемой - вирусом, которых жрёт память, отрубает антивири и не даёт запускаться AVZ. Пользуясь рекомендациями этого форума, выполнил всё указанное в них, но остался рад вопросов:

1. Вирус попортил отображение папок и проводника, например, я не могу просматривать скрытые и системные папки и файлы - команды "Сервис - Свойство папки - Вид - Показывать скрытые файлы и папки" просто нет. Пробовал восстановить проводник через AVZ - не катит.

2. Как мне удостовериться, что вирус умер и больше не восстанет из зада? Файлы в папке drivers удалил, загрузившись под Линукс, папку down тоже, реестр почистил по ключевым именам файлов.

3. Как могло случиться, что вирус ко мне попал и какой антивирус стоек перед подобными нападками? Avira, как оказалось, не самая сильная.

Всю ночь долбался, щас иду спать, поэтому сорри - отвечу завтра.
Ещё проверю завтра хорошенько всё утилитой от Dr Web и AVZ. Кстати, посоветуйте, как с помощью AVZ выполнить проверку, чтобы быть до конца спокойным?
Антивирь буду ставить тоже завтра.

Спасибо за то, что вы есть

[zerocorporated]

Если вы в этом разделе пишете то где логи?

3. Как могло случиться, что вирус ко мне попал и какой антивирус стоек перед подобными нападками? Avira, как оказалось, не самая сильная.

Весомый аргумент чтоб настроить правильно систему.
Отключите автозапуск.
Используйте ограниченную учетную запись.
Безопасный Интернет. Универсальная защита для Windows ME - Vista

[Sam33]

Вот и логи

[moderated: правила]

[Гриша]

Нам нужны логи а не остатки карантина

[Sam33]

Извиняюсь, не вдуплил ситуэйшн. Теперь прилагаю то, что требуется

[kps]

CureIt!'ом делали полную проверку?
Прогоните такой скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 QuarantineFile('C:\Program Files\Wireless and wired keyboard\StartAutorun.exe','');
 QuarantineFile('C:\Program Files\VisualTaskTips\VisualTaskTips.exe','');
 QuarantineFile('C:\Program Files\VistaDriveIcon\DrvIcon.exe','');
 QuarantineFile('C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe','');
 QuarantineFile('C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe','');
 QuarantineFile('C:\Program Files\Ad Muncher\AdMunch.exe','');
 QuarantineFile('C:\Program Files\Acronis\TrueImageServer\TrueImageMonitor.exe','');
 QuarantineFile('C:\Program Files\Acronis\TrueImageServer\TimounterMonitor.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\KMWDFilter.SYS','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\TEMP\DrvFltIp','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ASFWHide','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23102 ).

Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
Как проблемы со скрытыми файлами ?

[Sam33]

Карантин загрузил:



CureIt!'ом выполнил сначала экспресс-проверку, а потом полную, нашёл и удалил 1 вирус в корзине и ещё нашёл патч для TCP/IP, но он неопасный, я с ним работал.

Упомянутый скрипт выполнил, компьютер перезагрузился. Логи прилагаю.

Со скрытыми файлами уже всё ок - импортировал ветку реестра Explorer с чистой машины, теперь пункт "Свойство папки" отображается корректно

[wise-wistful]

Логи повторите, посмотрим что там с системой.

[Sam33]

Логи повторите, посмотрим что там с системой.

Самые первые логи повторить (п. 7-13 правил)?

[Гриша]

Да

[Sam33]

Логи:

[V_Bond]

выполните скрипт ...

Код:

begin
  ClearQuarantine;
 QuarantineFile('C:\WINDOWS\System32\Drivers\KMWDFilter.SYS','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\TEMP\DrvFltIp','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ASFWHide','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Sam33]

выполните скрипт ...

пришлите карантин согласно приложения 3 правил ...

Отправил карантин

[Sam33]

Поставил Каспера, просканил в бозопасном режиме, нашёл вирус в архиве. Теперь понятно, откуда взялся вирус - из кейгена, удалил. Похоже система теперь в порядке. Всем спасибо за участие. Также прислушаюсь к советам из мануалов во втором посте

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 114
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\mdelk.exe - Trojan-Downloader.Win32.Bagle.pv (DrWEB: Trojan.DownLoader.62017)