Подозрение на Win32.HLLM.Beagle.216

[X-winger]

Карантин прислал, правда, как я успел заметить, туда попало не всё (ошибки прямого чтения были вроде).
На всякий случай сделал еще логи.

[kps]

Теперь червю не уйти. Сильно маскировался.
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe - Trojan-Downloader.Win32.Bagle.po
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe - Trojan-Downloader.Win32.Bagle.po
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe - Trojan-Downloader.Win32.Bagle.po

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('H:\autorun.inf');
 DeleteFile('H:\nideiect.com');
 DeleteFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe');
 DeleteFile('C:\Program Files\ASUS\GamerOSD\GamerOSD.exe');
 DeleteFile('C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Прикрепите логи : B_d.txt и boot_clr_B_d.log из папки AVZ.
И логи по правилам.

[X-winger]

boot_clr_B_d.log не создался. Я работал с экспериментальной AVZ, которая 60.com.
Остальные логи прикрепляю.

[kps]

Осталось реестр почистить от червя.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Прикрепите логи : B_d.txt и boot_clr_B_d.log, если есть, из папки AVZ.
И логи по правилам. Все 3.

[X-winger]

Прикрепляю всё, что получилось. Какова картина?

[kps]

Червя больше нет. Логи почти чистые - почти, потому что у Вас есть Bonjour, можете почитать о нем здесь:
http://forum.rudtp.ru/showthread.php?t=29833
Его лучше удалить.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

I:\ - это флешка? Если да, то подключите ее. Один файлик можно проверить:
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('I:\autorun.inf','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин по правилам.

На всякий случай выполните пункт 2 правил (полная проверка свежим CureIt!)

[X-winger]

CureIt нашел и удалил еще три Beagle, два из которых - на флэшке.
Шпионский бонжур остановил, проблемы через AVZ исправил.
Карантин выслал.

Добавлено через 13 минут

Попытался войти в безопасный режим - компьютер, так же как и раньше, перезагружается.
Попытался удалить и переустановить драйверы wi-fi, после перезагрузки выдал вот такие сообщения:
http://www.ljplus.ru/img4/x/_/x_winger/wi-fi-error.JPG

[wise-wistful]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ExecuteRepair(10);
 RebootWindows(true);
end.

После этого попробуйте безопасный режим.

[X-winger]

Черт, буквально за минуту до вашего сообщения использовал второй вариант из этого топика:
http://virusinfo.info/showthread.php?t=9279

Windows при загрузке выдает синий экран и перезагружается, ни один вариант не работает.
Чувствую, пора переустанавливать систему.

Может, есть вариант, как вернуть загрузку в первоначальное состояние "руками" (появился бокс для винчестера)?

[kps]

Не надо заниматься самолечением. Столько лечили
Думаю, надо загрузиться с загрузочного CD и отредактировать BOOT.INI, чтобы было как раньше.

[X-winger]

Сделал (подключил винчестер к другому компьютеру), удалил /safeboot, попробую загрузиться.

Добавлено через 1 час 21 минуту

Система загрузилась. Жду дальнейших указаний.

[Bratez]

Диск I: оставьте подключенным.
Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('I:\Recycled\deskinf.pif','');
 DeleteFile('I:\autorun.inf');
 DeleteFile('I:\Recycled\deskinf.pif');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.

Пришлите новый карантин по правилам.
Попробуйте, пойдет ли загрузка в безопасный режим.
Обновите базы AVZ и сделайте новые логи.

[X-winger]

Выполнил скрипт - безопасный режим начал работать.
Прикрепил логи.

[kps]

Теперь чисто. Какие-то проблемы остались ?

[X-winger]

Не работает wi-fi соединение, проблема описана в сообщении #47.

[V_Bond]

wlanapi.dll удалите из папки system32 ....
попробуйте переустановить драйвера ..

[X-winger]

Попробовал - та же ошибка.

[V_Bond]

такой вопрос ... проблема появилась до установки сп3 или после ?
если после , нужно взять последнюю библиотеку для вашей модели на сайте производителя ... и записать ее в system32

[X-winger]

Так и не смог починить-разобраться с wi-fi. Читал, что такая проблема возникла у многих после установки sp3. Буду пробовать и дальше.

Но главное, что признаков вируса \ вирусов нет, система работает нормально. Спасибо всем большое!