Не запускаются антивири, hijack. Только переименованый AVZ смог просканить и сделать логи (в аттаче). Подозрение на Bagle.
Не запускаются антивирусы
Не запускаются антивири, hijack. Только переименованый AVZ смог просканить и сделать логи (в аттаче). Подозрение на Bagle.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И безопасный режим не работает, при попытке его загрузить - BSOD.
И что есть интересного на синем экране? Код ошибки, имя проблемного модуля?
A problem has been detected and Windows has been shut down to prevent demage to your computer.
If this is the first time...
Check for viruses...
*** STOP 0x0000007B (0xF789E524, 0xC0000034, 0x00000000, 0x00000000)
Добавлено через 28 минут
Собственно, я сам вижу и flec006, и srosa.
На VirusTotal проверил лично мне подозрительный winupgro.exe/ Как оказалось, не зря (Result: 17/39 (43.59%)):
a-squared 4.0.0.73 2008.12.28 Trojan.Crypt!IK
AntiVir 7.9.0.45 2008.12.27 TR/Dldr.Bagle.air
AVG 8.0.0.199 2008.12.28 Win32/Themida
BitDefender 7.2 2008.12.28 MemScan:Trojan.Downloader.Bagle.LI
CAT-QuickHeal 10.00 2008.12.27 (Suspicious) - DNAScan
DrWeb 4.44.0.09170 2008.12.28 Trojan.Packed.650
F-Secure 8.0.14332.0 2008.12.28 Trojan-Downloader.Win32.Bagle.air
Fortinet 3.117.0.0 2008.12.27 PossibleThreat
GData 19 2008.12.28 MemScan:Trojan.Downloader.Bagle.LI
Ikarus T3.1.1.45.0 2008.12.28 Trojan.Crypt
Kaspersky 7.0.0.125 2008.12.28 Trojan-Downloader.Win32.Bagle.air
McAfee+Artemis 5476 2008.12.27 New Malware.jn
Prevx1 V2 2008.12.28 System Back Door
SecureWeb-Gateway 6.7.6 2008.12.28 Trojan.Dldr.Bagle.air
Sophos 4.37.0 2008.12.28 Mal/Generic-A
TheHacker 6.3.1.4.200 2008.12.26 W32/Behav-Heuristic-064
Все понимаю, но сделать ничего не могу пока, ибо квалификации не хватает явно.
Добавлено через 7 часов 56 минут
Ребята, ну помогите кто-нибудь, пожалуйста.
Последний раз редактировалось edirol; 28.12.2008 в 15:09. Причина: Добавлено
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ 2 раза, 2-ой раз после перезагрузки:
3. Пришлите карантин, если туда что-то попадет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%System32%\drivers\srosa.sys',''); QuarantineFile('%System32%\drivers\hldrrr.exe',''); QuarantineFile('%System32%\wintems.exe',''); QuarantineFile('%System32%\drivers\mdelk.exe',''); QuarantineFile('%System32%\mdelk.exe',''); QuarantineFile('c:\documents and settings\Никодим\application data\m\flec006.exe',''); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); DeleteFile('c:\documents and settings\Никодим\application data\m\flec006.exe'); BC_ImportALL; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); RebootWindows(true); end.
Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
Сердце решает кого любить... Судьба решает с кем быть...
Сделал.
Похоже, не помогло.
Для удаления файла c:\documents and settings\Никодим\application data\m\flec006.exe необходима перезагрузка->
Не надо так пессимистично, скрипт справился почти
надо cureit + avptool прогнать, а потом опять новые логи
чтобы безопасный режим заработал, попробуйте этот скрипт перед этим выполнить
Код:begin ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(10); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А не запускались антивири, потому что надо было переустановить.
Спасибо за помощь.
На всякий случай прилагаю лог hijack, который тоже стал работать после переустановки.
Не нужно торопиться, лечение ещё только началось
Сделайте новые логи, может у вас ещё что-нибудь интересное есть
Запросто.
Нууу... лично я в логах криминала не вижу...
И на том спасибо.
C:\WINDOWS\system32\drivers\hid7906.sys
что за драйвер? найдите и пришлите по второму приложению правил.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Я проверял всем, чем только можно. Никто не ругался.
Это не важно, вы послали по ссылке ? Если нет, то сделайте как положено.Сообщение от edirol
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) edirol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
