Привет Всем!
Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220.
Дайте инструкции как лечить!!!
Спасибо!
Привет Всем!
Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220.
Дайте инструкции как лечить!!!
Спасибо!
Все ясновидящие и гадалки к сожалению в отпусках, поэтому необходимо выполнить правила - http://virusinfo.info/showthread.php?t=1235 - и приложить положенные по ним логи. Тогда можно посоветовать что-то предметное для борьбы со зловредом.
Добрый вечер Олег!!
Посылаю лог AVZ.
выполните скрипт ...
пришлите крантин соглано приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys',''); QuarantineFile('c:\windows\system32\drivers\hldrrr.exe',''); QuarantineFile('c:\windows\system32\drivers\downld\633218.exe',''); QuarantineFile('d:\Загрузка\60.com',''); DeleteFile('c:\windows\system32\drivers\downld\633218.exe'); DeleteFile('c:\windows\system32\drivers\hldrrr.exe'); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); DeleteFile('c:\windows\wintems.exe'); DeleteFile('c:\windows\drivers\mdelk.exe'); DeleteFile('c:\windows\mdelk.exe'); BC_DeleteSvc('srosa'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
выполните пункт 2 правил ...
сделайте полный комплект логов ...
Уважаемый V_Bond!
Карантин выслал...
""выполните пункт 2 правил" - это какие?
Спасибо!
V_Bond, добрый вечер!
Пункт 2 этот-
"2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! ...."?
именно ...
Машина в безопасном режиме не грузится..
Экспресс проверка DrWeb - CureIT в обычном режиме -"Вирусов нет"!
эсспресс проверка это несерьезно .... нужно делать полную ...
после такого скрипта в safe mode
Код:begin ExecuteRepair(10); RebootWindows(true); end.
В safe mode машина не грузится!!
Значит проверьте в обычном режиме....но нужна полная проверка.
Microsoft Most Valuable Professional in Consumer Security
Выполните в AVZ:
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+логи по правилам,прикрепите все к сообщению.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportALL; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); ExecuteRepair(10 ); RebootWindows(true); end.
Нормальные логи для Гриши!!
Последний раз редактировалось Вася54; 18.06.2008 в 00:58.
Теперь логи по правилам...
Логи по правилам....
логи по правилам начиная с пункта 8 ...
Проверка п 8
После перезагрузки
С победой сборной России, ура.....
Уважаемый(ая) Вася54, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.