Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

Модификацию Bagle (вероятно) (заявка № 79637)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51

    Thumbs up Модификацию Bagle (вероятно)

    Windows XP SP2. Касперский 8. В результате запуска вредоносного кода, компьютер по всей вероятности был заражен одной из модификаций вируса Bagle.

    Запустившись, вирус отключил Касперского.
    Перезагрузка в безопасном режиме заблокирована - BSOD.
    Не удалось запустить: AVZ, HiJackThis, AVPTool, КАV - поэтому логи приложить не могу. Сообщение, что эти проги не является приложением win32. Невозможно их не переустановить не удалить. Переименование не помогло.
    Cureit запускается - проверяет но ничего не находит. Прочесал комп вручную - нашел левые папки и файлы:

    user\Application Data\drivers\
    user\Application Data\m\
    %System32%\sposa2.dll
    и на диске D afqk CANJ9H59, Удалил это все, не помогло.

    Кстати в Program Files появилась левая папка 'a' с кучей левых файлов
    объемом 3 Гб и тем самым забило весь диск С - удалил, снова пока не появляется.

    Что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    скачал, запустил - выдало что не является приложением win32, переименование не помогло

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте "OSAM" (Online Solutions Autorun Manager).

    Лог работы утилиты заархивируйте и прикрепите к своему сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Лог работы утилиты заархивируйте и прикрепите к своему сообщению[/QUOTE]

    Скачал, запустил, лог прилагаю

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Запустите OSAM
    В меню драйверов правой кнопкой по srosa и выберите "Turn Run Off", потом подтвердите перезагрузку.
    Повторите процедуру для sK9Ou0s

    Пробуйте выполнить правила и лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    В меню драйверов правой кнопкой
    Не нашел меню драйверов, запустил прогу - прошла проверка - слева список - жму правой кнопкой - там Copy Text. А вот - все разобрался...сейчас все сделаю!!!!
    Последний раз редактировалось L@MER; 30.05.2010 в 21:59.

  9. #8
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Сделал как вы сказали - ComboFix не запускается все равно (переименование не помогает). Сообщение - не является приложением Win32. Лог после отключения - приложен.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А AVZ тоже не запускается?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    А AVZ тоже не запускается?
    Извиняюсь . Сейчас проверил АVZ заработал и обновил бызы - сейчас выполню все правила и пришлю логи.

  12. #11
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Прогнал комп AVZ и HiJackThis. Логи прилагаю.

  13. #12
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Извините что получилось несколько одинаковых личных сообщений - браузер подвис маленько

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit');
     DeleteFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mule_st_key');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + попробуйте сделать лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Выполнил скрипт. Папка с карантином пуста, поэтому не высылаю её. Дело в том, что папки drivers и m (которые согласно скрипту должны оказаться в карантине) уже давно мною принудительно удалены, еще до начала лечения на virusinfo. Высылаю логи. Combofix так и не запускается.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделал лог, прилагаю.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
     DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Зараженные ключи в реестре:
    Код:
    HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
    Попробуйте сделать лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Карантин отослал. Ключи удалил. Combofix не запускается.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог OSAM еще раз сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    36
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Лог OSAM еще раз сделайте
    Лог прилагаю

  • Уважаемый(ая) L@MER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Подозрение на модификацию sdra64
      От kamuri в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.12.2010, 16:47
    2. поймал модификацию Aekgoprn.dll
      От zawall в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.12.2009, 18:32
    3. Ответов: 21
      Последнее сообщение: 23.11.2009, 00:52
    4. Все тот же Bagle
      От subhuman в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:37
    5. BAGLE.32 ?? NEED HELP !!!!
      От ciausazumab в разделе Malware Removal Service
      Ответов: 12
      Последнее сообщение: 25.01.2008, 00:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01496 seconds with 19 queries