Процессы flec006.exe и hdlrrr.exe, помогите излечиться.

[abonent1978]

Карантин отправил

[Гриша]

Ждите пока я скачаю 5 метров и посмотрю

Берем в карантин все что находится в автозагрузке, потому, что червь шерстит этот ключ реестра и подменяет все исполняемые файлы свой копией...

Итого у нас подменен файл NeroCheck.exe-Trojan-Downloader.Win32.Bagle.abz

Остальные файлы чистые...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe ');
 DeleteFile('c:\documents and settings\user\application data\m\flec006.exe');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

Выполните скрипт 2 раза и повторите логи...

[abonent1978]

Кажется компу уже лучше . Безопасный режим не работает, хотел сделать полное сканирование, подскажете как восстановить безопасный режим . Логи последнего скана прилагаю.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ExecuteRepair(10 );  
RebootWindows(true);
end.

Затем зайдите в безопасный режим и выполните полную проверку CureIT...

Вопрос на засыпку вы какой-нибудь кряк качали перед тем как все началось?

[abonent1978]

Кряком не пользовался, но все началось после апдейта Adobe acrobat. Полагаю, что вместо апдейта, загрузилось что-то левое и есть подозрения что резидент давно сидел в компе и ждал момента.

[Гриша]

Бог с ним, как система?

[abonent1978]

Ура! Система работает, безопасный режим тоже. Просканировал в безопасном режиме CureIt и AVPtool. Нашли очень много гадов.
Огромное спасибо Грише и всем кто помогал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\user\\application data\\m\\flec006.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
  2. c:\\program files\\common files\\ahead\\lib\\nerocheck.exe - Trojan-Downloader.Win32.Bagle.abz (DrWEB: Win32.HLLM.Beagle.239)
  3. c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.abz (DrWEB: Win32.HLLM.Beagle.239)
  4. c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.zf (DrWEB: Win32.HLLM.Beagle.239)
  5. c:\\windows\\system32\\mdelk.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
  6. c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)