Безопасный режим не работате, антивирусы тоже. Возможно beagle напал.

[Oppressor]

Здравствуйте, у меня проблема. Вероятно это hllm.beagle. Вчера вырубился NOD32, брандмауэр и автоапдейт. Включить их не удалось. При попытке переустановить НОД появлялась ошибка, мол "доступа нет" к какому-то файлу. Безопасный режим не работает (синий экран + перезагрузка). У меня WinXP SP3, англ. версия. Почитал разные форумы и темы на вашем форуме. Попытка "полечить" Cureit'ом успехом не увенчалась, - как и у других жертв beagl'а, всяческие антивирусные утилиты не запускают под предлогом "сие не есть приложение win32". Искал вручную по похожим названиям ехе-шников и удалил srosa2.sys, ничего другого не нашел. Кроме того, запустил переименованный в evrika.pif, AVZ. Работает, но я не запускал там никакие скрипты. Cureit переименовал, запустил, но он вылетает во время скана.
Скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" там нет (в evrika.pif), но есть "Healing/Quarantine and Advanced System Analysis". Что делать?!

[Bratez]

Скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" там нет (в evrika.pif), но есть "Healing/Quarantine and Advanced System Analysis". Что делать?!

Это одно и то же. Вот его и делать. Лог в студию.

[Oppressor]

Просканировал. Два лога есть. Почему не появился virusinfo_syscheck не понял (делал все по инструкции).

[V_Bond]

выполните скрипт дважды

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 DeleteService('hpdj');
 QuarantineFile('C:\DOCUME~1\TIM_AD~1\LOCALS~1\Temp\hpdj.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\drivers\srosa.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\wintems.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\drivers\winfilse.exe','');
 TerminateProcessByName('c:\windows.0\system32\wintems.exe');
 QuarantineFile('c:\windows.0\system32\wintems.exe','');
 TerminateProcessByName('c:\windows.0\system32\drivers\winfilse.exe');
 QuarantineFile('c:\windows.0\system32\drivers\winfilse.exe','');
 TerminateProcessByName('c:\documents and settings\tim_admin\application data\m\flec006.exe');
 QuarantineFile('c:\documents and settings\tim_admin\application data\m\flec006.exe','');
 DeleteFile('c:\documents and settings\tim_admin\application data\m\flec006.exe');
 DeleteFile('c:\windows.0\system32\drivers\winfilse.exe');
 DeleteFile('c:\windows.0\system32\wintems.exe');
 DeleteFile('C:\Documents and Settings\Tim_admin\Application Data\m\flec006.exe');
 DeleteFile('C:\WINDOWS.0\system32\drivers\winfilse.exe');
 DeleteFile('C:\WINDOWS.0\system32\wintems.exe');
 DeleteFile('C:\WINDOWS.0\system32\drivers\srosa.sys');
 DeleteFile('C:\DOCUME~1\TIM_AD~1\LOCALS~1\Temp\hpdj.exe');
 DeleteFile('C:\System Volume Information\_restore{48703E65-CD3B-44F9-8436-033990458A34}\RP839\A0485727.msi');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[drongo]

ещё бы cureit & avptool прогнать не помешает.
Так же вот это не помешает потом
begin

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.

Логи уже сделаете нормальной авз , обновите перед этим её базы.

[Oppressor]

Скрипты запустил. Некоторые "симптомы" исчезли. Например, безопасный режим заработал, перестал вырубаться звук (до этого такая проблема была), ЦП больше не загружен на 70-80% в режиме бездействия, антивирусные утилиты стали запускаться без проблем. Сделал полную проверку CureiT'ом в безопасном режиме, он удалил помимо beagle'вских файлов еще пару троянов, при этом снес весь quarantine, созданный АВЗом после самой первой проверки (так что отправить смог только последний карантин, полученный сегодня).
С автоматическими обновлениями и брандмауэром пока что-то непонятное. Свой NOD32 устанавливать пока не пробовал.

[Гриша]

Пофиксить

Код:

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS.0\system32\wintems.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS.0\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Удалите Бонжур (см.раздел "Чаво" ), повторите логи...

[Oppressor]

Все сделано. Новые логи приложены.
flec006.exe - это тоже из гадостей, как я понимаю. В application data до сих пор висит скрытая папка m/, забитая какими-то зипами (крэки, кейгены, скринсейверы и всякая фигня) эдак на 126 МБ.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Tim_admin\Application Data\m\flec006.exe');
 DeleteFileMask('C:\Documents and Settings\Tim_admin\Application Data\m\ ','*.* ',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);    
RebootWindows(true);
end.

Сделайте полную проверку CureIT и повторите логи...

[Oppressor]

Сделано.
Папку m/ удалил вручную, вместе со всем содержимым и заново она не появилась (а раньше появлялась). Сделал полную проверку CureIt'ом - все чисто. Три новых лога приложил.
ЗЫ: В реестре все еще висят неудаляемые ключи LEGACY_SROSA.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;       
 QuarantineFile('c:\Program Files\Microsoft IntelliType Pro\itype.exe','');
 QuarantineFile('D:\Program Files\iTunes\iTunesHelper.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\nwiz.exe','');
 QuarantineFile('C:\Program Files\gcauthc\gcauthc.exe','');
 QuarantineFile('C:\Program Files\eMule\emule.exe','');
 QuarantineFile('C:\Program Files\QuickTime\qttask.exe','');
 QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');
 QuarantineFile('C:\Program Files\DNA\btdna.exe','');
 QuarantineFile('C:\Program Files\DAEMON Tools\daemon.exe','');
end.

Пришлите карантин...

[Oppressor]

Прислал карантин. Не пугайтесь gauthc.exe, - это программа от провайдера, - через нее включается и выключается доступ в инет, можно смотреть балланс и т.п.
UPD: Установил NOD32 без проблем.

[Oppressor]

Ну вообщем ничего подозрительного не наблюдается, НОД установлен. Все вернулось на круги своя. Большое спасибо за помощь.

[Гриша]

btdna.exe_, daemon.exe_, emule.exe_, gcauthc.exe_, iTunesHelper.exe_, itype.exe_, jusched.exe_, nwiz.exe_, qttask.exe_

Вредоносный код в файлах не обнаружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены