На компьютере стоит основная рабочая система Win XP SP2, также для изучения второй системой установлена Vista 32 битная.
Вчера обратил внимание, что загрузка процессора в обычном состоянии, при незапущенных программах составляет 50-70 процентов.
Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220
Прочитал правила на этом сайте, скачал и Dr.Web Cureit и AVZ и HijackThis. Ни одна из этих программ не запускается под зараженной системой. AVZ сообщает, что не является приложением WIN32, остальные, проработав 3-7 секунд просто вырубаются, не начав проверки. Кроме того из Свойств папки вообще исчезла опция "Показывать скрытые файлы и папки".
В защищенном режиме F8 WIN XP, не загрузившись, выпадает в синий экран.
Осталась надежда убрать вирусню из под Висты.
Dr.Web Cureit сообщил, что найдены три вируса в System 32\ drivers
hldrrr.exe (Win32 HLLM. Beagle.220)
mdelk.exe (Win32 HLLM. Beagle.220)
srosa.sys (Win32 HLLM. Beagle.219)
и удалил эти три вируса.
Сканирование диска C (где установлена XP) из под Висты последовательно Dr.Web, Касперским и НОД 32 больше ничего не обнаружили. После перезагрузки и загрузке WIN XP проблема та же самая, в скрытых процессах обнаруживается hldrrr.exe
и ни один антивирус не устанавливается и не запускается. Убить процесс hldrrr.exe не получается. Загрузка двухядерного процессора 2.4 ггц составляет так же 55-70 процентов при неработающих видимых программах.
Помогите, как избавиться от заразы, не переустанавливая систему?
(Слишком много уйдет на восстановление полное (около недели).
У меня нет этого времени сейчас!)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+сделайте логи по правилам и прекрепите все к следующему сообщению.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Компьютер перезагрузится, сделайте новые логи по правилам и прикрепите их, еще прикрепите B_d.txt и boot_clr_B_d.log из папки AVZ.
Не понял, простите! Еще не все что-ли? В этом скрипте указаны рабочие и важные эксешники для моей системы, они что поражены червем? Если их в карантин убирать, то как потом? снова переустанавливать все указанные в скрипте программы?
Отправил файл карантина, согласно http://virusinfo.info/upload_virus.php?tid=23427
Правда файлик у меня был с расширением *.rar, Zip архиватора нет в моей системе, пришлось переименовать расширение для отправки.
Да, кстати, червь убрал из Свойств папки опцию "Показать скрытые фалы и папки", она так и не появилась. Можно ли ее восстановить?
Последний раз редактировалось Akula_Alex; 26.05.2008 в 17:07.
Чисто, Вы просто не выполнили скрипт из поста номер 4 перед созданием логов, правильно?
Выполните его, прикрепите логи B_d.txt и boot_clr_B_d.log из папки AVZ и новые логи по правилам.
По поводу скрытых файлов обязательно поможем, когда прикрепите логи.
Последняя проблема осталась, опция показать или не показать скрытые файлы и папки
в меню "сервис" -"свойства папки" - "вид" так и не появилась, даже после последнего скрипта и перезагрузки. Есть еще варианты , как вернуть на место опцию?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: