Система Windows Vista 32 + AVP 7.
Был запущен файл с расширением exe. Касперский никак не прореагировал. Через 2 -3 минуты вылет в синий экран, после перезагрузки системы AVP сообщил о неких процессах пытающихся прописаться в реестр и благополучно вылетел. Сканирование Cureit выявило вирус в файле srosa.sys и его удалило. После загрузки в нормальном режиме ни AVP ни AVZ не запускаются.
Загрузился с CD – VistaPE, на другом компьютере обновил AVZ и просканировал диск С зараженного (лог прилагаю). После загрузки системы в нормальном режиме, ни AVP ни AVZ не запускаются, да и IE тоже выдает ошибку и вылетает.
На каждой флэшке, которая вставляется в зараженный комп. Касперский (на другом РС) ловит вирус Trojan-PWS.Win32.Nilage.bvl – который на зараженном компьютере ни один сканер не выявил.
Последний раз редактировалось kps; 06.08.2008 в 13:02.
Причина: Удалил карантин
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('c:\users\ase\appdata\roaming\m\flec006.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+сделайте логи по правилам...
После скрипта и перезагрузки появляется окно проводника озаглавленное Select file for crack. Его выгружаю через диспетчер. Первая загрузка IE не удается, со второй он грузится.
Да, заработал Hilack переименованный, лог прилагаю тоже.
Отсутствует троян на флэшках.
CureIt! нашел Beagle ? У Вас похоже программы в автозапуске (были) подменены, иначе бы не появлялось сообщение "Select file for crack" - оно уже не появляется?
Уже не появляется, но глюки остались.
При старте защитник Windows выдает ошибку, при этом в трее висит сообщение о блокировке автозапуска каких-то программ, но при попытке просмотреть их, пишет ошибку 0x800106ba.
Касперский не запускается, при переустановке с CD, инсталятор завершается аварийно с ошибкой 2771 WholeProductFeature
Хух, разобрался.
Защитник ссылается на некорректное завершение какого-то процесса.
При автозапуске оказались заблокированы драйвер SoundMAx и nVidiaraid.
Касперский встал после полной деинсталяции старых останков. Счас обновится и сделаю полный прогон системы.
Добавлено через 1 час 58 минут
Касперский обнаружил в файле (автозапуск которого был заблоктрован) следующее:
удалено: троянская программа Trojan-Downloader.Win32.Bagle.xi Файл: c:\program files\analog devices\core\smax4pnp.exe
Кроме того, в папке C:\Users\ase\AppData\Roaming\m\shared\ свыше сотни различных zip файлов с разным софтом (я таких и названий не знаю) и в каждом троян Trojan-Downloader.Win32.Bagle.xi
Ошибку выдавал Защитник Windows при загрузке потому, что его служба была отключнена (включается обратно через панель управления - службы).
Все работает отлично! Всем помогавшим и поддержавшим огромный РЕСПЕКТ! СПАСИБО!
Тема закрыта.
Последний раз редактировалось DoubleCat; 06.08.2008 в 18:12.
Причина: Добавлено
Уважаемый(ая) DoubleCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: