вирус убил антивирь и не даёт установить вновь защиту

[biven]

вирус убил антивирь и не даёт установить вновь защиту... стоял avast, пытался переустановить - ничего не вышло ( . вирус удаляет основные exe-шники ещё при инсталяции )
так же пытался установить drweb, bitdefender - результат такой же
в безопасный режим зайти не удалось - постоянно идёт перезагрузка компа
через загрузочный вышел в командер (предварительно скачал архивом drweb_dos) , распокавал проверил ... ничего не найдено, для эксперемента переименовал файл exe-шника из drweb399.exe в tets.exe ... вирус его не тронул
прошу помочь, зарянее признателен ...

пс на компе давно ещё живут lsass.exe, winlogon и пр. которые вручную отрубить не удалось, и ни KAS ни NOD32 и др не хотят справляться (

ппс exe-шник предпологаемого заразчика могу выслать, но полностью не уверен, так как пользователей на компе несколько

[rubin]

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
 QuarantineFile('C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\srosa.sys','');
 QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\ipreg32.inf','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 QuarantineFile('D:\Disc D\programs\hack\Restorator25\Restorator.exe','');
 QuarantineFile('C:\Program Files\EmEditor\emedshl.dll','');
 QuarantineFile('C:\WINDOWS\system32\TSLLkSrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\dev32.exe','');
 QuarantineFile('C:\WINDOWS\system32\mocih.exe','');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
ExecuteSysClean;
end.

Поищите siside.sys, карантин пришлите

Добавлено через 5 минут

Пофиксите в HiJackThis:

Код:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl178bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -

[V_Bond]

и еще немного ... поиксите...

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\srosa.sys','');
 QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
 DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
 BC_QrSvc('ACCRA');
 BC_QrSvc('FreeBSD');
 BC_DeleteSvc('ACCRA');
 BC_DeleteSvc('FreeBSD');
 BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи...

[biven]

Файл сохранён как 071105_113527_virus_472f545f19f2c.zip
логи сейчас будут

пс siside.sys найден . что с ним делать ?

[rubin]

Добавьте его в карантин, пожалуйста, и так же пошлите этот карантин

[V_Bond]

C:\WINDOWS\Downloaded Program Files\popcaploader.dll not-a-virusownloader.Win32.PopCap.a
C:\WINDOWS\system32\drivers\srosa.sys Win32.HLLM.Beagle (DrWeb)

[biven]

карантин залил
Файл сохранён как 071105_120844_virus2_472f5c2c51374.zip

странно... но сканирование в AVZ идёт гораздо дольше

[rubin]

siside.sys чист... Ждём логов

[biven]

логи

[V_Bond]

WINDOWS\system32\drivers\siside.sys -чистый...

Добавлено через 6 минут

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
  QuarantineFile('c:\windows\system32\wintems.exe','');
 QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
 DeleteFile('c:\windows\system32\drivers\hidr.exe');
 DeleteFile('c:\windows\system32\wintems.exe');
 BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
 DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
 BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил..
повторите логи...

[biven]

ради теста попробовал разархивировать дистрюбитив с drweb_dos ... по прежнему убивает основное приложение
...
сейчас скрипт запущу
...
Файл сохранён как 071105_124459_virus3_472f64ab67455.zip

[biven]

логи

[V_Bond]

Код:

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hidr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\drivers\hidr.exe');
 DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите лог...HijackThis

[biven]

вот пжлста

[rubin]

В логе чисто... проблема решилась?

[biven]

спасибо за помощь, обоим помошникам r+ )
при разархиваци нужный файл жив, думаю при инсталяции др пакетов проблем не возникнет
а как решить вопрос с lsass.exe и services.exe, winlogon.exe ... это вредоностные приложения или нет ?

add
подскажите какой лучше антивирь держать ? на свой взгляд ...
1.7 проц, 512 оперативки - быстрым не назвать, особенно когда столько вирусни сидит
от аваста откажусь наверн, хоть он и уcтраивал по ресурсоёмкости ... выбор между drweb, BitDefender, Trend Micro pc, F-antivirus

[rubin]

Это нормальные процессы Windows.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[V_Bond]

в вашем случае вредоносов с такими именами нет ... все что есть системные процессы ...

Добавлено через 1 минуту

выбор между drweb, BitDefender, Trend Micro pc, F-antivirus

drweb или BitDefender ....

[biven]

ещё раз вас благодарю
сейчас поизучаю материал в ссылках

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 84
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\hidr.exe - Trojan-Downloader.Win32.Bagle.fi (DrWEB: Win32.HLLM.Beagle)
  2. c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.fk (DrWEB: Win32.HLLM.Beagle)
  3. c:\\windows\\system32\\wintems.exe - Trojan-Downloader.Win32.Bagle.fl (DrWEB: Win32.HLLM.Beagle)