Показано с 1 по 18 из 18.

Система поражена вирусом. Не могу избавиться. (заявка № 23427)

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37

    Thumbs up Система поражена вирусом. Не могу избавиться.

    На компьютере стоит основная рабочая система Win XP SP2, также для изучения второй системой установлена Vista 32 битная.
    Вчера обратил внимание, что загрузка процессора в обычном состоянии, при незапущенных программах составляет 50-70 процентов.
    Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220
    Прочитал правила на этом сайте, скачал и Dr.Web Cureit и AVZ и HijackThis. Ни одна из этих программ не запускается под зараженной системой. AVZ сообщает, что не является приложением WIN32, остальные, проработав 3-7 секунд просто вырубаются, не начав проверки. Кроме того из Свойств папки вообще исчезла опция "Показывать скрытые файлы и папки".
    В защищенном режиме F8 WIN XP, не загрузившись, выпадает в синий экран.
    Осталась надежда убрать вирусню из под Висты.
    Dr.Web Cureit сообщил, что найдены три вируса в System 32\ drivers
    hldrrr.exe (Win32 HLLM. Beagle.220)
    mdelk.exe (Win32 HLLM. Beagle.220)
    srosa.sys (Win32 HLLM. Beagle.219)
    и удалил эти три вируса.
    Сканирование диска C (где установлена XP) из под Висты последовательно Dr.Web, Касперским и НОД 32 больше ничего не обнаружили. После перезагрузки и загрузке WIN XP проблема та же самая, в скрытых процессах обнаруживается hldrrr.exe
    и ни один антивирус не устанавливается и не запускается. Убить процесс hldrrr.exe не получается. Загрузка двухядерного процессора 2.4 ггц составляет так же 55-70 процентов при неработающих видимых программах.

    Помогите, как избавиться от заразы, не переустанавливая систему?
    (Слишком много уйдет на восстановление полное (около недели).
    У меня нет этого времени сейчас!)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Скачать эту версию AVZ ,она уже переименованна.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+сделайте логи по правилам и прекрепите все к следующему сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Большое спасибо, вирусня и признаки исчезли, после того, как выполнил действия выше описанные.
    Из логов нашел только один, который прикрепляю.
    Вложения Вложения
    • Тип файла: txt B_d.txt (3.1 Кб, 6 просмотров)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1281
    Выполните такой скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Компьютер перезагрузится, сделайте новые логи по правилам и прикрепите их, еще прикрепите B_d.txt и boot_clr_B_d.log из папки AVZ.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Выполнил следующие пункты, согласно правилам, прилагаю отчеты и логи!
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Червь применил свой фокус с автозагрузкой.


    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\ESET\ESET Smart Security\egui.exe','');
     QuarantineFile('C:\Program Files\Unlocker\UnlockerAssistant.exe','');
     QuarantineFile('C:\WINDOWS\system32\fireface.exe','');
     QuarantineFile('C:\WINDOWS\System32\JMRaidTool.exe','');
     QuarantineFile('C:\Program Files\WIBUKEY\H2O\CXWibu.exe','');
     QuarantineFile('C:\Program Files\VisualTaskTips\VisualTaskTips.exe','');
     QuarantineFile('C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe','');
     QuarantineFile('C:\Program Files\Stardock\ObjectDock\ObjectDock.exe','');
     QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
     DeleteService('System Scheduler');     
     DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('System Scheduler ');    
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23427

  8. #7
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Не понял, простите! Еще не все что-ли? В этом скрипте указаны рабочие и важные эксешники для моей системы, они что поражены червем? Если их в карантин убирать, то как потом? снова переустанавливать все указанные в скрипте программы?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1281
    Карантин - это всего лишь снятие копии файлов. Это файлы вообще не трогает.
    А подменил ли их червь - мы проверим.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Отправил файл карантина, согласно http://virusinfo.info/upload_virus.php?tid=23427
    Правда файлик у меня был с расширением *.rar, Zip архиватора нет в моей системе, пришлось переименовать расширение для отправки.

    Да, кстати, червь убрал из Свойств папки опцию "Показать скрытые фалы и папки", она так и не появилась. Можно ли ее восстановить?
    Последний раз редактировалось Akula_Alex; 26.05.2008 в 16:07.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1281
    Чисто, Вы просто не выполнили скрипт из поста номер 4 перед созданием логов, правильно?
    Выполните его, прикрепите логи B_d.txt и boot_clr_B_d.log из папки AVZ и новые логи по правилам.
    По поводу скрытых файлов обязательно поможем, когда прикрепите логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Сделал, как положено. Запустил Скрипт из 4-го топика, и повторил снятие логов, согласно правилам!
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Вот скрипт для безопасного режима и отображения скрытых файлов:

    Код:
    begin
    ExecuteRepair(6 );
    ExecuteRepair(8 );
    ExecuteRepair(10 );    
    RebootWindows(true);
    end.
    Жалобы есть?

  14. #13
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Последняя проблема осталась, опция показать или не показать скрытые файлы и папки
    в меню "сервис" -"свойства папки" - "вид" так и не появилась, даже после последнего скрипта и перезагрузки. Есть еще варианты , как вернуть на место опцию?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    а если такой скрипт ?
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(10);    
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    Дак мне уже давали этот скрипт в 12 топике, не помогло, опция не появилась!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1281
    Скачайте архив отсюда http://www.uploading.com/files/LECRN2GM/r1.rar.html
    Распакуйте, запустите r1.reg, добавьте информацию в реестр, перезагрузите компьютер, проблема со скрытыми файлами пропала?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  18. #17
    Junior Member Репутация
    Регистрация
    26.05.2008
    Адрес
    Екатеринбург
    Сообщений
    9
    Вес репутации
    37
    На этот раз все заработало и появилось!
    Огромное спасибо, приятно работать с профессионалами!!!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Akula_Alex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 25.08.2011, 18:25
    2. "система поражена вирусом Trojan.Win32.inject.aohy "
      От ole4ka_12_10 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.03.2011, 06:15
    3. Ответов: 6
      Последнее сообщение: 11.05.2010, 23:47
    4. Система заражена вирусом Win32.NetSky
      От Libra в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 09.12.2009, 15:18
    5. Ответов: 2
      Последнее сообщение: 26.11.2009, 23:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01004 seconds with 17 queries