Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Уже больше 3х недель не могу избавиться от товарищей: beagle,srosa и hldrrr!

ГЛЮКОВ от них море!

ПРОги все висят...

Безопаска не грузится. Синева, код: 00007В

Логи все сделал, надеюсь на спасение.

LOG.rar

LOG.rar

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить такой скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

Логи готовы.

Кста, после 2го скрипту, ребутка не имела место.

Ручками пришлось...

LOG2.rar

LOG2.rar

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\FRAPS\FRAPS.DLL','');QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');QuarantineFile('c:\windows\system32\ioctlsvc.exe','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\FRAPS\FRAPS.EXE','');QuarantineFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe','');QuarantineFile('C:\Program Files\Punto Switcher\pshook.dll.1213899295','');DeleteFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe');DeleteFile('C:\WINDOWS\system32\IoctlSvc.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Подготовьте комплект логов...посмотрим, что осталось.

P>S> Какие проблемы еще наблюдаются?

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Безопаска по прежнему радостно встречает синевой!

Код: 0000007В

КИСУ начал ставить, увы, тоже синевой кончилось, код:00000004D

ЛОги по новой делать!?

Ссылка на комментарий
Поделиться на другие сайты

[/code]

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Подготовьте комплект логов...посмотрим, что осталось.

P>S> Какие проблемы еще наблидаются?

Архив отправил ещё вчера! Дошел?

Проблемы? Киса не встает, кончается это дело зависом:sm(113):

А нуно поставить КИСу! НУНО!

Ссылка на комментарий
Поделиться на другие сайты

Да.

Для открытия безопасного режима.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты

Да.

Для открытия безопасного режима.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

А потом чего делать?

Логи?

КИСА ж не встаёт, значит, сидит где-то хитрожопый?

Ссылка на комментарий
Поделиться на другие сайты

Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу.

P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему.

Архив отправил ещё вчера! Дошел?

Нет не дошел...

Вы заменили <at> на @? Это маскировка от спам-ботов.

Ссылка на комментарий
Поделиться на другие сайты

Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу.

P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему.

Нет не дошел...

Вы заменили <at> на @? Это маскировка от спам-ботов.

Отправил!

Куреит щас в систем32 Троян. Прокси.3367

Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!?

Изменено пользователем Митрофан
Ссылка на комментарий
Поделиться на другие сайты

Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!?

Именно в такой последовательности. :)

Добавьте лог Куреита к новым логам.

Ссылка на комментарий
Поделиться на другие сайты

Именно в такой последовательности. :)

Добавьте лог Куреита к новым логам.

После скрипту выбрал сейфмоде, винда мин10 черный экран показывала, потом молча ребутнулась, без всяких объяснений.

Ну я оптимист, ещё раз выбрал безопаску. Винда снова 10 мин. думала, почёсывая репу, потом дала войти в сейфмоде!:)

Куреит ничего не нашел. Я выбрал: Windows, Документы, и систем волюм информашн.

Логи-ссссс

LOG.rar

LOG.rar

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\BEST SOFT\CD-RW\Nero\Совсем  new5\Nero-8.3.2.1_rus_trial\Data\88D3F316.cab','');QuarantineFile('J:\emule0.48a-Xtreme6.1№2\emule.exe','');QuarantineFile('C:\WINDOWS\is-JPVTC.exe','');QuarantineFile('C:\Program Files\Total Commander\TOTALCMD.EXE','');QuarantineFile('C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\SuperMounter.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\50059419.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\05544617.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\04423543.sys','');SetServiceStart('is-JV479drv', 4);DeleteService('is-JV479drv');SetServiceStart('is-EPA3Qdrv', 4);DeleteService('is-EPA3Qdrv');SetServiceStart('is-7EV46drv', 4);DeleteService('is-7EV46drv');DeleteFile('C:\WINDOWS\system32\drivers\04423543.sys');DeleteFile('C:\WINDOWS\system32\drivers\05544617.sys');DeleteFile('C:\WINDOWS\system32\drivers\50059419.sys');DeleteFile('C:\WINDOWS\is-JPVTC.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Карантин так и не пришел.....давайте так.....залейте его на любой файлообменник и пришлите ссылку в личку.

Заметил драйвера от Касперского....перед установкой их надо убрать

Ссылка на комментарий
Поделиться на другие сайты

Заметил драйвера от Касперского....перед установкой их надо убрать

Вы чистили следы от касперского перед повторной установкой?

Попытки установить до сих пор бесполезны?

Ссылка на комментарий
Поделиться на другие сайты

(тьфу-тьфу!) встала КИСА!

Обновление и настройку сделал, ребутнуться предложила Кисуля...

Ссылка на комментарий
Поделиться на другие сайты

Вчера поставил КИСУ последнюю, стабл, обновил, все дела.

А щас мучаюсь с ней! Все браузеры тормозят:bye1:

КАК настроить!?

Ссылка на комментарий
Поделиться на другие сайты

Единственный выход нашел для нормального пользования инета, это ОТКЛЮЧЕНИЕ ЗАЩИТЫ КИСы!

Зачем она тогда тогда нужна, спрашивается!?

КАК сделать, чтобы браузеры нормально работали!?

Ссылка на комментарий
Поделиться на другие сайты

Настройка Сетевого экрана стоит на чём? Рекомендуется на Обучающем режиме. Родительский контроль часом не включен?

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...