-
Junior Member
- Вес репутации
- 51
Модификацию Bagle (вероятно)
Windows XP SP2. Касперский 8. В результате запуска вредоносного кода, компьютер по всей вероятности был заражен одной из модификаций вируса Bagle.
Запустившись, вирус отключил Касперского.
Перезагрузка в безопасном режиме заблокирована - BSOD.
Не удалось запустить: AVZ, HiJackThis, AVPTool, КАV - поэтому логи приложить не могу. Сообщение, что эти проги не является приложением win32. Невозможно их не переустановить не удалить. Переименование не помогло.
Cureit запускается - проверяет но ничего не находит. Прочесал комп вручную - нашел левые папки и файлы:
user\Application Data\drivers\
user\Application Data\m\
%System32%\sposa2.dll
и на диске D afqk CANJ9H59, Удалил это все, не помогло.
Кстати в Program Files появилась левая папка 'a' с кучей левых файлов
объемом 3 Гб и тем самым забило весь диск С - удалил, снова пока не появляется.
Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
скачал, запустил - выдало что не является приложением win32, переименование не помогло
-
Скачайте "OSAM" (Online Solutions Autorun Manager).
Лог работы утилиты заархивируйте и прикрепите к своему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Лог работы утилиты заархивируйте и прикрепите к своему сообщению[/QUOTE]
Скачал, запустил, лог прилагаю
-
Запустите OSAM
В меню драйверов правой кнопкой по srosa и выберите "Turn Run Off", потом подтвердите перезагрузку.
Повторите процедуру для sK9Ou0s
Пробуйте выполнить правила и лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
В меню драйверов правой кнопкой
Не нашел меню драйверов, запустил прогу - прошла проверка - слева список - жму правой кнопкой - там Copy Text. А вот - все разобрался...сейчас все сделаю!!!!
Последний раз редактировалось L@MER; 30.05.2010 в 21:59.
-
Junior Member
- Вес репутации
- 51
Сделал как вы сказали - ComboFix не запускается все равно (переименование не помогает). Сообщение - не является приложением Win32. Лог после отключения - приложен.
-
А AVZ тоже не запускается?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
А AVZ тоже не запускается?
Извиняюсь . Сейчас проверил АVZ заработал и обновил бызы - сейчас выполню все правила и пришлю логи.
-
Junior Member
- Вес репутации
- 51
Прогнал комп AVZ и HiJackThis. Логи прилагаю.
-
Junior Member
- Вес репутации
- 51
Извините что получилось несколько одинаковых личных сообщений - браузер подвис маленько
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe','');
QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe','');
DeleteFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit');
DeleteFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mule_st_key');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + попробуйте сделать лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Выполнил скрипт. Папка с карантином пуста, поэтому не высылаю её. Дело в том, что папки drivers и m (которые согласно скрипту должны оказаться в карантине) уже давно мною принудительно удалены, еще до начала лечения на virusinfo. Высылаю логи. Combofix так и не запускается.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Сделал лог, прилагаю.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Зараженные ключи в реестре:
Код:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
Попробуйте сделать лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Карантин отослал. Ключи удалил. Combofix не запускается.
-
Лог OSAM еще раз сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Лог OSAM еще раз сделайте
Лог прилагаю