Beagle и пр. замучили уже!

[Митрофан]

Уже больше 3х недель не могу избавиться от товарищей: beagle,srosa и hldrrr!

ГЛЮКОВ от них море!

ПРОги все висят...

Безопаска не грузится. Синева, код: 00007В

Логи все сделал, надеюсь на спасение.

LOG.rar

LOG.rar

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить такой скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

[Митрофан]

Логи готовы.

Кста, после 2го скрипту, ребутка не имела место.

Ручками пришлось...

LOG2.rar

LOG2.rar

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\FRAPS\FRAPS.DLL','');QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');QuarantineFile('c:\windows\system32\ioctlsvc.exe','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\FRAPS\FRAPS.EXE','');QuarantineFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe','');QuarantineFile('C:\Program Files\Punto Switcher\pshook.dll.1213899295','');DeleteFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe');DeleteFile('C:\WINDOWS\system32\IoctlSvc.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Подготовьте комплект логов...посмотрим, что осталось.

P>S> Какие проблемы еще наблюдаются?

Изменено 9 июля, 2008 пользователем akoK

[Митрофан]

КАкой комплект?

Всё те же логи?

[Митрофан]

Безопаска по прежнему радостно встречает синевой!

Код: 0000007В

КИСУ начал ставить, увы, тоже синевой кончилось, код:00000004D

ЛОги по новой делать!?

[Митрофан]

[/code]

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Подготовьте комплект логов...посмотрим, что осталось.

P>S> Какие проблемы еще наблидаются?

Архив отправил ещё вчера! Дошел?

Проблемы? Киса не встает, кончается это дело зависом:sm(113):

А нуно поставить КИСу! НУНО!

[akoK]

Да.

Для открытия безопасного режима.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

[Митрофан]

Да.

Для открытия безопасного режима.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

А потом чего делать?

Логи?

КИСА ж не встаёт, значит, сидит где-то хитрожопый?

[akoK]

Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу.

P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему.

Архив отправил ещё вчера! Дошел?

Нет не дошел...

Вы заменили <at> на @? Это маскировка от спам-ботов.

[Митрофан]

Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу.

P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему.

Нет не дошел...

Вы заменили <at> на @? Это маскировка от спам-ботов.

Отправил!

Куреит щас в систем32 Троян. Прокси.3367

Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!?

Изменено 9 июля, 2008 пользователем Митрофан

[akoK]

Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!?

Именно в такой последовательности. :)

Добавьте лог Куреита к новым логам.

[Митрофан]

Именно в такой последовательности. :)

Добавьте лог Куреита к новым логам.

После скрипту выбрал сейфмоде, винда мин10 черный экран показывала, потом молча ребутнулась, без всяких объяснений.

Ну я оптимист, ещё раз выбрал безопаску. Винда снова 10 мин. думала, почёсывая репу, потом дала войти в сейфмоде!:)

Куреит ничего не нашел. Я выбрал: Windows, Документы, и систем волюм информашн.

Логи-ссссс

LOG.rar

LOG.rar

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\BEST SOFT\CD-RW\Nero\Совсем  new5\Nero-8.3.2.1_rus_trial\Data\88D3F316.cab','');QuarantineFile('J:\emule0.48a-Xtreme6.1№2\emule.exe','');QuarantineFile('C:\WINDOWS\is-JPVTC.exe','');QuarantineFile('C:\Program Files\Total Commander\TOTALCMD.EXE','');QuarantineFile('C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\SuperMounter.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\50059419.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\05544617.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\04423543.sys','');SetServiceStart('is-JV479drv', 4);DeleteService('is-JV479drv');SetServiceStart('is-EPA3Qdrv', 4);DeleteService('is-EPA3Qdrv');SetServiceStart('is-7EV46drv', 4);DeleteService('is-7EV46drv');DeleteFile('C:\WINDOWS\system32\drivers\04423543.sys');DeleteFile('C:\WINDOWS\system32\drivers\05544617.sys');DeleteFile('C:\WINDOWS\system32\drivers\50059419.sys');DeleteFile('C:\WINDOWS\is-JPVTC.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Карантин так и не пришел.....давайте так.....залейте его на любой файлообменник и пришлите ссылку в личку.

Заметил драйвера от Касперского....перед установкой их надо убрать

[Митрофан]

Карантин в ПМ!

И самый новый тоже!

[akoK]

Качаю....как попытки установить Касперского?

[akoK]

Явного ничего не нашел....завтра отправлю в вирлаб....пусть они еще поковыряют.

[ТроПа]

Заметил драйвера от Касперского....перед установкой их надо убрать

Вы чистили следы от касперского перед повторной установкой?

Попытки установить до сих пор бесполезны?

[Митрофан]

Не не чистил, завтра займусь и поставлю таки КИСу!

[Митрофан]

kavremover9 запустил, он пишет: Кисы нот детектед!

Ммм?

[Митрофан]

(тьфу-тьфу!) встала КИСА!

Обновление и настройку сделал, ребутнуться предложила Кисуля...

[ТроПа]

Ну так она это всегда предлагает при установке. Как проблемы прошли? КИСа нашла что-то ещё интересное?

[Митрофан]

Вчера поставил КИСУ последнюю, стабл, обновил, все дела.

А щас мучаюсь с ней! Все браузеры тормозят:bye1:

КАК настроить!?

[Митрофан]

Единственный выход нашел для нормального пользования инета, это ОТКЛЮЧЕНИЕ ЗАЩИТЫ КИСы!

Зачем она тогда тогда нужна, спрашивается!?

КАК сделать, чтобы браузеры нормально работали!?

[ТроПа]

Настройка Сетевого экрана стоит на чём? Рекомендуется на Обучающем режиме. Родительский контроль часом не включен?

Изменено 10 июля, 2008 пользователем wise-wistful