Блокировка антивирусных программ

[Вася54]

Привет Всем!
Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220.
Дайте инструкции как лечить!!!
Спасибо!

[Зайцев Олег]

Все ясновидящие и гадалки к сожалению в отпусках, поэтому необходимо выполнить правила - http://virusinfo.info/showthread.php?t=1235 - и приложить положенные по ним логи. Тогда можно посоветовать что-то предметное для борьбы со зловредом.

[Вася54]

Добрый вечер Олег!!
Посылаю лог AVZ.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
 QuarantineFile('c:\windows\system32\drivers\hldrrr.exe','');
 QuarantineFile('c:\windows\system32\drivers\downld\633218.exe','');
 QuarantineFile('d:\Загрузка\60.com','');
 DeleteFile('c:\windows\system32\drivers\downld\633218.exe');
 DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
 DeleteFile('c:\windows\wintems.exe');
 DeleteFile('c:\windows\drivers\mdelk.exe');
 DeleteFile('c:\windows\mdelk.exe');
 BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите крантин соглано приложения 3 правил ...
выполните пункт 2 правил ...
сделайте полный комплект логов ...

[Вася54]

Уважаемый V_Bond!
Карантин выслал...
""выполните пункт 2 правил" - это какие?
Спасибо!

[V_Bond]

это эти http://virusinfo.info/showthread.php?t=1235

[Вася54]

V_Bond, добрый вечер!
Пункт 2 этот-
"2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! ...."?

[V_Bond]

именно ...

[Вася54]

Машина в безопасном режиме не грузится..
Экспресс проверка DrWeb - CureIT в обычном режиме -"Вирусов нет"!

[V_Bond]

эсспресс проверка это несерьезно .... нужно делать полную ...
после такого скрипта в safe mode

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

[Вася54]

В safe mode машина не грузится!!

[akok]

Значит проверьте в обычном режиме....но нужна полная проверка.

[Гриша]

Выполните в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(10 );    
RebootWindows(true);
end.

Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+логи по правилам,прикрепите все к сообщению.

[Вася54]

Нормальные логи для Гриши!!

[Гриша]

Теперь логи по правилам...

[Вася54]

Логи по правилам....

[V_Bond]

логи по правилам начиная с пункта 8 ...

[Вася54]

Проверка п 8

[Вася54]

После перезагрузки

[Вася54]

С победой сборной России, ура.....