-
Junior Member
- Вес репутации
- 58
Блокируются антивирусы, в диспетчере flec006.exe
Вредная гадость началась с появления синего экрана смерти, затем, после перезагрузки перестал выполняться drweb, переустановить его не удалось. СureIt и AVZ не запускаются.
Комп сильно тормозит, в диспетчере сидит flec006.exe. Исчезла возможность Safe Boot - все записи в реестре про SafeBoot стерты и не восстанавливаются.
Нашел в похожей теме ссылку на переименованный AVZ - pingpong.pif. Удалось выполнить. Также и hijackthis под названием 1.bat каким-то чудом выполнился.
Прилагаю логи согласно правилам. Что же с этим делать, неужели сносить всю систему и переразмечать диск? Это будет ужасно.
Последний раз редактировалось msnaumov; 09.09.2009 в 20:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Похоже на Bagle. Нужно диск каким нибудь Антивирем с обновленными базами просканить - хоть с LIVECD хоть с другого компа.. АВЗ вряд ли сможет помочь. А все потому, что система не патченная
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\csdlocalmon.dll','');
QuarantineFile('c:\documents and settings\Администратор\application data\m\flec006.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\m\flec006.exe');
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFile('c:\documents and settings\Администратор\application data\m\flec006.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
end.
Повторите логи. хотя надежды на победу никакой.
-
-
Junior Member
- Вес репутации
- 58
Спасибо за быстрый ответ, пока не помогло
Выполнил скрипт, после перезагрузки все тот же flec006.exe сидит в диспетчере и все прочие прелести.
А как проверить с LIVECD или с другого компа? И какой лучше антивирь? Вот я записал на CD CureIt под другим именем - после запуска тут же процесс уничтожается. Или надо как-то загрузочный диск сделать? Если можно, подкиньте совет или ссылку, как это делается
Спасибо!
-
Антивирус не обязателен, Багла выносит AVZ при нужном скрипте. Сделайте новые логи и прикрепите, чтоб посмотреть, что там у Вас сейчас сидит кроме Багла.
Последний раз редактировалось kps; 30.06.2008 в 01:29.
-
-
Junior Member
- Вес репутации
- 58
Вот новые логи
Понял, что такое LIVECD, пока логи делались (и испанцы немцев побеждали), скачал DrWeb Live-CD, не знаю, правда, надо ли его запускать. Очень нравиться идея, что можно снести Багла "правильным" скриптом. А какой он, правильный скрипт?
Последний раз редактировалось msnaumov; 09.09.2009 в 20:47.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Администратор\application data\m\flec006.exe','');
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
DeleteFile('c:\documents and settings\Администратор\application data\m\flec006.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Пришлите карантин по правилам...
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ прикрепите их к сообщению.
-
-
Junior Member
- Вес репутации
- 58
Ура, кажется помогло.
Дорогой и уважаемый Гриша, кажется, дело сделано, комп перестал тормозить. Надо еще поизучать, а пока шлю логи. Карантин слишком большой - 1.5М - и не пролезает.
Если без него не все понятно, могу попробовать убрать уже лишние вложения и послать часть карантина.
Спасибо.
Последний раз редактировалось msnaumov; 09.09.2009 в 20:47.
-
Теперь снова выполните скрипт из поста номер 6, после перезагрузки сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 58
Кое-что еще пришлось увидеть
Например, вдруг после установки DrWeb отловил flec006.exe из того самого места C:\Documents and Settings\Администратор\Application Data\m. Ну, думаю, опять началось. Однако, пронесло, каталог этот я убил, пока не появляется.
Еще SafeBoot восстановить не сразу удалось, файл reg с сайта AVZ почему-то не помог, комп завис после попытки загрузки в безопасном режиме. Может, надо было еще раз попробовать, но я экспортировал раздел Safe Boot с ноута, хоть там и Home Edition, однако помогло. Теперь у меня в реестре целых 5 разделов ControlSet (1..5), не считая конечно CurrentControlSet.
Может, уже теперь OK?
Последний раз редактировалось msnaumov; 09.09.2009 в 20:46.
-
-
-
Junior Member
- Вес репутации
- 58
Плюю 3 раза через левое плечо
Полет нормальный.
Еще раз спасибо!