Карантин отправил
Карантин отправил
Ждите пока я скачаю 5 метров и посмотрю
Берем в карантин все что находится в автозагрузке, потому, что червь шерстит этот ключ реестра и подменяет все исполняемые файлы свой копией...
Итого у нас подменен файл NeroCheck.exe-Trojan-Downloader.Win32.Bagle.abz
Остальные файлы чистые...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Выполните скрипт 2 раза и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe '); DeleteFile('c:\documents and settings\user\application data\m\flec006.exe'); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportALL; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); RebootWindows(true); end.
Последний раз редактировалось Гриша; 12.10.2008 в 21:32.
Кажется компу уже лучше . Безопасный режим не работает, хотел сделать полное сканирование, подскажете как восстановить безопасный режим . Логи последнего скана прилагаю.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Затем зайдите в безопасный режим и выполните полную проверку CureIT...Код:begin ExecuteRepair(10 ); RebootWindows(true); end.
Вопрос на засыпку вы какой-нибудь кряк качали перед тем как все началось?
Кряком не пользовался, но все началось после апдейта Adobe acrobat. Полагаю, что вместо апдейта, загрузилось что-то левое и есть подозрения что резидент давно сидел в компе и ждал момента.
Бог с ним, как система?
Ура! Система работает, безопасный режим тоже. Просканировал в безопасном режиме CureIt и AVPtool. Нашли очень много гадов.
Огромное спасибо Грише и всем кто помогал.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\m\\flec006.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\program files\\common files\\ahead\\lib\\nerocheck.exe - Trojan-Downloader.Win32.Bagle.abz (DrWEB: Win32.HLLM.Beagle.239)
- c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.abz (DrWEB: Win32.HLLM.Beagle.239)
- c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.zf (DrWEB: Win32.HLLM.Beagle.239)
- c:\\windows\\system32\\mdelk.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
Уважаемый(ая) abonent1978, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.