Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Не могу извести Begle под Вистой (заявка № 27593)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31

    Thumbs up Не могу извести Begle под Вистой

    Система Windows Vista 32 + AVP 7.
    Был запущен файл с расширением exe. Касперский никак не прореагировал. Через 2 -3 минуты вылет в синий экран, после перезагрузки системы AVP сообщил о неких процессах пытающихся прописаться в реестр и благополучно вылетел. Сканирование Cureit выявило вирус в файле srosa.sys и его удалило. После загрузки в нормальном режиме ни AVP ни AVZ не запускаются.
    Загрузился с CD – VistaPE, на другом компьютере обновил AVZ и просканировал диск С зараженного (лог прилагаю). После загрузки системы в нормальном режиме, ни AVP ни AVZ не запускаются, да и IE тоже выдает ошибку и вылетает.
    На каждой флэшке, которая вставляется в зараженный комп. Касперский (на другом РС) ловит вирус Trojan-PWS.Win32.Nilage.bvl – который на зараженном компьютере ни один сканер не выявил.
    Вложения Вложения
    Последний раз редактировалось kps; 06.08.2008 в 13:02. Причина: Удалил карантин

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    virusinfo_cure - карантин, который никто не запрашивал. Хорошо, что пустой.

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31

    Да погорячился.

    После очередного синего экрана заработал IE. Запущенные AVZ и Hijek (переименованные) после старта вылетают.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте этот авз ... и сделайте логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31

    Логи

    Да, после первого скрипта и перезагрузки система 3 раза вылетала в синий экран и только с четвертой загрузки выполнен второй скрипт.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\drivers\srosa.sys','');
     TerminateProcessByName('c:\users\ase\appdata\roaming\m\flec006.exe');
     QuarantineFile('c:\users\ase\appdata\roaming\m\flec006.exe','');
     TerminateProcessByName('c:\windows\system32\wintems.exe');
     QuarantineFile('c:\windows\system32\wintems.exe','');
     DeleteFile('c:\windows\system32\wintems.exe');
     DeleteFile('c:\users\ase\appdata\roaming\m\flec006.exe');
     DeleteFile('C:\Windows\System32\wintems.exe');
     DeleteFile('C:\Windows\system32\drivers\srosa.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31

    логи 2

    Второе сканирование
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('c:\users\ase\appdata\roaming\m\flec006.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+сделайте логи по правилам...

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    логи 3
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Выполните скрипт еще раз и повторите логи...

  12. #11
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    Логи 4

    После скрипта и перезагрузки появляется окно проводника озаглавленное Select file for crack. Его выгружаю через диспетчер. Первая загрузка IE не удается, со второй он грузится.
    Да, заработал Hilack переименованный, лог прилагаю тоже.
    Отсутствует троян на флэшках.
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы!Выполните пункт 2 правил...

  14. #13
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    Исполнено

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Повторите логи...

  16. #15
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    Отсутствует окно select...
    IE по прежнему запускается со второй попытки
    Троянов на флэшках нет.
    Вложения Вложения

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пофиксить

    Код:
    O1 - Hosts: ::1 localhost
    O13 - Gopher Prefix:
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(6);
    ExecuteRepair(10);    
    RebootWindows(true);
    end.
    Почистите систему от мусора http://virusinfo.info/showthread.php?t=10025 сообщите результат, в логах чисто...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    CureIt! нашел Beagle ? У Вас похоже программы в автозапуске (были) подменены, иначе бы не появлялось сообщение "Select file for crack" - оно уже не появляется?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    Уже не появляется, но глюки остались.
    При старте защитник Windows выдает ошибку, при этом в трее висит сообщение о блокировке автозапуска каких-то программ, но при попытке просмотреть их, пишет ошибку 0x800106ba.
    Касперский не запускается, при переустановке с CD, инсталятор завершается аварийно с ошибкой 2771 WholeProductFeature

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Вы не ответили на вопрос, что нашла утилита CureIt!. Сделайте новый лог по пункту 10 правил. Будем карантинить программы из автозапуска.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  21. #20
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    10
    Вес репутации
    31
    Хух, разобрался.
    Защитник ссылается на некорректное завершение какого-то процесса.
    При автозапуске оказались заблокированы драйвер SoundMAx и nVidiaraid.
    Касперский встал после полной деинсталяции старых останков. Счас обновится и сделаю полный прогон системы.

    Добавлено через 1 час 58 минут

    Касперский обнаружил в файле (автозапуск которого был заблоктрован) следующее:
    удалено: троянская программа Trojan-Downloader.Win32.Bagle.xi Файл: c:\program files\analog devices\core\smax4pnp.exe

    Кроме того, в папке C:\Users\ase\AppData\Roaming\m\shared\ свыше сотни различных zip файлов с разным софтом (я таких и названий не знаю) и в каждом троян Trojan-Downloader.Win32.Bagle.xi

    Ошибку выдавал Защитник Windows при загрузке потому, что его служба была отключнена (включается обратно через панель управления - службы).

    Все работает отлично! Всем помогавшим и поддержавшим огромный РЕСПЕКТ! СПАСИБО!

    Тема закрыта.
    Последний раз редактировалось DoubleCat; 06.08.2008 в 18:12. Причина: Добавлено

  • Уважаемый(ая) DoubleCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Нод в сочетании с Вистой
      От Vist@ в разделе Оффтоп
      Ответов: 6
      Последнее сообщение: 03.03.2008, 22:38
    2. :dash2:змучал agent-oww? deflib.sys-не могу извести
      От pwn в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 18.01.2008, 23:29
    3. Не могу извести "зоопарк" на компьютере
      От yobot в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.11.2007, 20:21
    4. Как извести вирус?
      От radiant в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.09.2007, 11:58
    5. Как извести трояна?
      От m-car в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.11.2006, 15:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01021 seconds with 23 queries