Карантин прислал, правда, как я успел заметить, туда попало не всё (ошибки прямого чтения были вроде).
На всякий случай сделал еще логи.
Карантин прислал, правда, как я успел заметить, туда попало не всё (ошибки прямого чтения были вроде).
На всякий случай сделал еще логи.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Теперь червю не уйти. Сильно маскировался.
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe - Trojan-Downloader.Win32.Bagle.po
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe - Trojan-Downloader.Win32.Bagle.po
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe - Trojan-Downloader.Win32.Bagle.po
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('H:\autorun.inf'); DeleteFile('H:\nideiect.com'); DeleteFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe'); DeleteFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe'); DeleteFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe'); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportDeletedList; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; SaveLog(GetAVZDirectory + 'B_d.txt'); BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); BC_Activate; RebootWindows(true); end.
Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
И логи по правилам.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
boot_clr_B_d.log не создался. Я работал с экспериментальной AVZ, которая 60.com.
Остальные логи прикрепляю.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Осталось реестр почистить от червя.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportDeletedList; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; SaveLog(GetAVZDirectory + 'B_d.txt'); BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); BC_Activate; RebootWindows(true); end.
Прикрепите логи : B_d.txt и boot_clr_B_d.log, если есть, из папки AVZ.
И логи по правилам. Все 3.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Прикрепляю всё, что получилось. Какова картина?
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Червя больше нет. Логи почти чистые - почти, потому что у Вас есть Bonjour, можете почитать о нем здесь:
http://forum.rudtp.ru/showthread.php?t=29833
Его лучше удалить.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
I:\ - это флешка? Если да, то подключите ее. Один файлик можно проверить:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('I:\autorun.inf',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин по правилам.
На всякий случай выполните пункт 2 правил (полная проверка свежим CureIt!)
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
CureIt нашел и удалил еще три Beagle, два из которых - на флэшке.
Шпионский бонжур остановил, проблемы через AVZ исправил.
Карантин выслал.
Добавлено через 13 минут
Попытался войти в безопасный режим - компьютер, так же как и раньше, перезагружается.
Попытался удалить и переустановить драйверы wi-fi, после перезагрузки выдал вот такие сообщения:
http://www.ljplus.ru/img4/x/_/x_winger/wi-fi-error.JPG
Последний раз редактировалось X-winger; 22.05.2008 в 00:22. Причина: Добавлено
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После этого попробуйте безопасный режим.Код:begin ExecuteRepair(10); RebootWindows(true); end.
Черт, буквально за минуту до вашего сообщения использовал второй вариант из этого топика:
http://virusinfo.info/showthread.php?t=9279
Windows при загрузке выдает синий экран и перезагружается, ни один вариант не работает.
Чувствую, пора переустанавливать систему.
Может, есть вариант, как вернуть загрузку в первоначальное состояние "руками" (появился бокс для винчестера)?
Последний раз редактировалось X-winger; 22.05.2008 в 01:16.
Не надо заниматься самолечением. Столько лечили
Думаю, надо загрузиться с загрузочного CD и отредактировать BOOT.INI, чтобы было как раньше.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сделал (подключил винчестер к другому компьютеру), удалил /safeboot, попробую загрузиться.
Добавлено через 1 час 21 минуту
Система загрузилась. Жду дальнейших указаний.
Последний раз редактировалось X-winger; 22.05.2008 в 03:17. Причина: Добавлено
Диск I: оставьте подключенным.
Выполните скрипт:
Пришлите новый карантин по правилам.Код:begin SetAVZGuardStatus(True); QuarantineFile('I:\Recycled\deskinf.pif',''); DeleteFile('I:\autorun.inf'); DeleteFile('I:\Recycled\deskinf.pif'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(10); BC_Activate; RebootWindows(true); end.
Попробуйте, пойдет ли загрузка в безопасный режим.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Выполнил скрипт - безопасный режим начал работать.
Прикрепил логи.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
Теперь чисто. Какие-то проблемы остались ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Не работает wi-fi соединение, проблема описана в сообщении #47.
wlanapi.dll удалите из папки system32 ....
попробуйте переустановить драйвера ..
Попробовал - та же ошибка.
такой вопрос ... проблема появилась до установки сп3 или после ?
если после , нужно взять последнюю библиотеку для вашей модели на сайте производителя ... и записать ее в system32
Так и не смог починить-разобраться с wi-fi. Читал, что такая проблема возникла у многих после установки sp3. Буду пробовать и дальше.
Но главное, что признаков вируса \ вирусов нет, система работает нормально. Спасибо всем большое!
Уважаемый(ая) X-winger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.