Митрофан Posted July 8, 2008 Report Share Posted July 8, 2008 Уже больше 3х недель не могу избавиться от товарищей: beagle,srosa и hldrrr! ГЛЮКОВ от них море! ПРОги все висят... Безопаска не грузится. Синева, код: 00007В Логи все сделал, надеюсь на спасение. LOG.rar LOG.rar Link to comment Share on other sites More sharing options...
akoK Posted July 8, 2008 Report Share Posted July 8, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить такой скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Link to comment Share on other sites More sharing options...
Митрофан Posted July 8, 2008 Author Report Share Posted July 8, 2008 Логи готовы. Кста, после 2го скрипту, ребутка не имела место. Ручками пришлось... LOG2.rar LOG2.rar Link to comment Share on other sites More sharing options...
akoK Posted July 8, 2008 Report Share Posted July 8, 2008 (edited) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\FRAPS\FRAPS.DLL','');QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');QuarantineFile('c:\windows\system32\ioctlsvc.exe','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\FRAPS\FRAPS.EXE','');QuarantineFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe','');QuarantineFile('C:\Program Files\Punto Switcher\pshook.dll.1213899295','');DeleteFile('C:\Documents and Settings\admin\Application Data\m\flec006.exe');DeleteFile('C:\WINDOWS\system32\IoctlSvc.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Подготовьте комплект логов...посмотрим, что осталось. P>S> Какие проблемы еще наблюдаются? Edited July 9, 2008 by akoK Link to comment Share on other sites More sharing options...
Митрофан Posted July 8, 2008 Author Report Share Posted July 8, 2008 КАкой комплект? Всё те же логи? Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 Безопаска по прежнему радостно встречает синевой! Код: 0000007В КИСУ начал ставить, увы, тоже синевой кончилось, код:00000004D ЛОги по новой делать!? Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 [/code] Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Подготовьте комплект логов...посмотрим, что осталось. P>S> Какие проблемы еще наблидаются? Архив отправил ещё вчера! Дошел? Проблемы? Киса не встает, кончается это дело зависом:sm(113): А нуно поставить КИСу! НУНО! Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Да. Для открытия безопасного режима. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 Да. Для открытия безопасного режима. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(6);ExecuteRepair(10);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. А потом чего делать? Логи? КИСА ж не встаёт, значит, сидит где-то хитрожопый? Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу. P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему. Архив отправил ещё вчера! Дошел? Нет не дошел... Вы заменили <at> на @? Это маскировка от спам-ботов. Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 (edited) Похоже на то....после анализа карантина и новых логов продолжим выгребать заразу. P>S> cureit запускали? Попробуйте пока пройти еще раз всю систему. Нет не дошел... Вы заменили <at> на @? Это маскировка от спам-ботов. Отправил! Куреит щас в систем32 Троян. Прокси.3367 Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!? Edited July 9, 2008 by Митрофан Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Значит, щас делаю скрипт, а потом в безопаске Куреитом сканю и новые логи!? Именно в такой последовательности. :) Добавьте лог Куреита к новым логам. Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 Именно в такой последовательности. :) Добавьте лог Куреита к новым логам. После скрипту выбрал сейфмоде, винда мин10 черный экран показывала, потом молча ребутнулась, без всяких объяснений. Ну я оптимист, ещё раз выбрал безопаску. Винда снова 10 мин. думала, почёсывая репу, потом дала войти в сейфмоде!:) Куреит ничего не нашел. Я выбрал: Windows, Документы, и систем волюм информашн. Логи-ссссс LOG.rar LOG.rar Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\BEST SOFT\CD-RW\Nero\Совсем new5\Nero-8.3.2.1_rus_trial\Data\88D3F316.cab','');QuarantineFile('J:\emule0.48a-Xtreme6.1№2\emule.exe','');QuarantineFile('C:\WINDOWS\is-JPVTC.exe','');QuarantineFile('C:\Program Files\Total Commander\TOTALCMD.EXE','');QuarantineFile('C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\SuperMounter.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\50059419.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\05544617.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\04423543.sys','');SetServiceStart('is-JV479drv', 4);DeleteService('is-JV479drv');SetServiceStart('is-EPA3Qdrv', 4);DeleteService('is-EPA3Qdrv');SetServiceStart('is-7EV46drv', 4);DeleteService('is-7EV46drv');DeleteFile('C:\WINDOWS\system32\drivers\04423543.sys');DeleteFile('C:\WINDOWS\system32\drivers\05544617.sys');DeleteFile('C:\WINDOWS\system32\drivers\50059419.sys');DeleteFile('C:\WINDOWS\is-JPVTC.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин так и не пришел.....давайте так.....залейте его на любой файлообменник и пришлите ссылку в личку. Заметил драйвера от Касперского....перед установкой их надо убрать Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 Карантин в ПМ! И самый новый тоже! Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Качаю....как попытки установить Касперского? Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Явного ничего не нашел....завтра отправлю в вирлаб....пусть они еще поковыряют. Link to comment Share on other sites More sharing options...
ТроПа Posted July 9, 2008 Report Share Posted July 9, 2008 Заметил драйвера от Касперского....перед установкой их надо убрать Вы чистили следы от касперского перед повторной установкой? Попытки установить до сих пор бесполезны? Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 Не не чистил, завтра займусь и поставлю таки КИСу! Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 kavremover9 запустил, он пишет: Кисы нот детектед! Ммм? Link to comment Share on other sites More sharing options...
Митрофан Posted July 9, 2008 Author Report Share Posted July 9, 2008 (тьфу-тьфу!) встала КИСА! Обновление и настройку сделал, ребутнуться предложила Кисуля... Link to comment Share on other sites More sharing options...
ТроПа Posted July 10, 2008 Report Share Posted July 10, 2008 Ну так она это всегда предлагает при установке. Как проблемы прошли? КИСа нашла что-то ещё интересное? Link to comment Share on other sites More sharing options...
Митрофан Posted July 10, 2008 Author Report Share Posted July 10, 2008 Вчера поставил КИСУ последнюю, стабл, обновил, все дела. А щас мучаюсь с ней! Все браузеры тормозят:bye1: КАК настроить!? Link to comment Share on other sites More sharing options...
Митрофан Posted July 10, 2008 Author Report Share Posted July 10, 2008 Единственный выход нашел для нормального пользования инета, это ОТКЛЮЧЕНИЕ ЗАЩИТЫ КИСы! Зачем она тогда тогда нужна, спрашивается!? КАК сделать, чтобы браузеры нормально работали!? Link to comment Share on other sites More sharing options...
ТроПа Posted July 10, 2008 Report Share Posted July 10, 2008 (edited) Настройка Сетевого экрана стоит на чём? Рекомендуется на Обучающем режиме. Родительский контроль часом не включен? Edited July 10, 2008 by wise-wistful Link to comment Share on other sites More sharing options...
Recommended Posts