Показано с 1 по 10 из 10.

win32.HllM.beagle убил антивирус [часть 2] (заявка № 21178)

  1. #1
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59

    Exclamation win32.HllM.beagle убил антивирус [часть 2]

    Столкнулся с этим вирусом и нашел подобную тему на этом форуме.. http://virusinfo.info/archive/index.php/t-6278.html

    Симтомы все те же, одно отличие - у меня не грузится ни cureit, ни касперский, ни AVZ, ни с диска, ни с винчестера, ни с обычной загрузки, ни с безопасного режима (который тоже не работал пока я ручками с другого компа не скопировал в регистр SafeBoot). Во всех случаях пишет что " такая то программа не является приложением Windows"

    Я абсолютно без понятия как убивать его, я его не могу найти, так как в настройках вида папки пропали параметры "Показывать скрытые файлы" О_О их просто нету.. сначала решил, что их там и не было,но на другом компе присутствуют..
    Нид хелп! Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте переименованный IceSword (его exe-файл в hockey.pif )
    Скачать можно отсюда:
    http://www.megaupload.com/?d=AUGYD37C
    Запустите его, зайдите слева в меню "Processes"
    Выберите:
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    И если есть windows\system32\mdelk.exe
    Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

    Потом внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe

    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    параметр называется "drvsyskit", удалите его.

    Найдите параметр
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
    параметр называется "german.exe", удалите его.

    Посмотрите, есть ли ключ реестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun.

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.
    Попробуйте запустить АВЗ.

  4. #3
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)
    Спасибо за оперативную помошь! Папки down нету, есть папка downld, думаю это именно то, что вы имеете в виду, но для страховки всё таки хочу услышать ваше мнение)

    Добавлено через 12 минут

    Так же отмечу, что помимо параметров "drvsyskit" и "german.exe" в ключе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run находится параметр "hldrrr.exe", его так же нужно удалить?
    и то, что помимо ключей реестра ControlSet001 - 004 ключ srosa находится и в ControlSet005, думаю его так же необходимо удалить? (В ControlSet001 и в ControlSet003 ключ srosa отсутствовал)
    Последний раз редактировалось Martinz; 08.04.2008 в 00:44. Причина: Добавлено

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    downld - там непонятно что под непонятными именами? если так - то это именно та папка. ControlSet005 - удаляйте.

  6. #5
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59
    в папке downld все файлы с расширением exe, а в именах пяти-восьмизначные числа..даты создания и изменения начинаются от 4 апреля по сей день, то есть примерно тот промежуток, когда у меня перестал работать антивирус

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да это папка с врагами - удаляйте.

  8. #7
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59
    Огромное спасибо за быструю, профессиональную помошь! cureit и avz работают, только пришлось их переустановить.
    Респект и уважуха такскзать ^_^

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да незашто проверьтесь cureit, а потом ждём логов avz и HJT.

  10. #9
    Junior Member Репутация
    Регистрация
    07.04.2008
    Сообщений
    6
    Вес репутации
    59
    Вот логи AVZ и HijackThis. )
    Вложения Вложения

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
     QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
     QuarantineFile('mswshl.dll','');
     QuarantineFile('svshost.exe','');
     QuarantineFile('C:\WINDOWS\system32\hldrrr.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     DeleteFile('c:\windows\system32\..\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\hldrrr.exe');
     DeleteFile('C:\WINDOWS\system32\mswapi.dll');
     DeleteFile('C:\Documents and Settings\Роман\DoctorWeb\Quarantine\A0058593.exe');
     DeleteFile('C:\Documents and Settings\Роман\DoctorWeb\Quarantine\B.tmp');
     DeleteFile('C:\Documents and Settings\Роман\DoctorWeb\Quarantine\sysservice.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21178

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
    O4 - HKLM\..\RunServices: [Microsoft Updates] svshost.exe 
    O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
    Повторите логи.

  • Уважаемый(ая) Martinz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    2. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49
    5. win32.HllM.beagle убил антивирус
      От Roden в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 21.09.2006, 22:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00371 seconds with 19 queries