-
Junior Member
- Вес репутации
- 59
Букет вирусов (Bagle + winupgro.exe +...) [Trojan-Downloader.Win32.Bagle.avs
]
Здравствуйте!
Сегодня я имел неосторожность поверить своему антивирусу (НОД32) и запустить подозрительный файл, скачанный из eMule. Стараюсь быть аккуратным и ничего лишнего не открывать, но уж очень нужен был этот экзешник (если бы он, конечно, оказался настоящим).
Итог плачевен - целый букет вирусов, который очень классно нейтрализовал большинство методов удаления. Что я имею в виду? Отключился антивирус, блокирован запуск и манипуляции с любыми антивирусами (AVZ, CureIt! и пр.), не работает safe-mode. При этом сама система работает исправно, но вирус живёт, это видно и в диспетчере задач.
Следуя инструкции на сайте сделать что-либо не представлялось возможным (не запускается avz, базы avz сами собой удаляются). Поэтому я загрузился из-под Windows XPE и проделал всё, что было написано в инструкции.
Файлы приложил, надеюсь Вы мне сможете помочь. Заранее большое спасибо!
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте вот эту сборку AVZ. Далее по правилам. И ни какой самодеятельности!
-
-
Junior Member
- Вес репутации
- 59
Спасибо!
Загрузился под обычной ХР и начал делать всё по инструкции. Процесс длится уже около часа. Программа застряла на архиве (tar.gz) Джумлы весом в 2 мегабайта. Сканирует, судя по индикатору, 1 файл в 20-25 секунд. Боюсь, так он никогда не закончит, особенно если учесть, что у меня припасён для него дамп базы весом в30 мегабайт
P.S. Судя по текущему логу, кстати, в запущенных процессах он не увидел ни одного вируса
-
Junior Member
- Вес репутации
- 59
Наконец-то закончилось сканирование. Приложил два файла. HiJackThisпод ХР не запустился
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\stsystra.exe','');
QuarantineFile('C:\Program Files\Stickies\stickies.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\RxFilter.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys','');
QuarantineFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
QuarantineFile('c:\windows\system32\wltrysvc.exe','');
DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
DeleteFile('C:\DOCUME~1\76C4~1\LOCALS~1\Temp\DX9\SessionLauncher.exe');
DeleteFile('C:\WINDOWS\system32\NSNDIS5.SYS');
BC_ImportALL;
BC_DeleteSvc('NSNDIS5');
BC_DeleteSvc('srosa');
BC_DeleteSvc('SessionLauncher');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Добавлено через 1 минуту
Сообщение от
VaNcHeR
P.S. Судя по текущему логу, кстати, в запущенных процессах он не увидел ни одного вируса
Вы правы, в процессах вируса действительно нет, а вот в драйверах...
Последний раз редактировалось Макcим; 09.01.2009 в 22:52.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Maxim
Карантин закачал. Логи поставил повторно делаться.
Вы правы, в процессах вируса действительно нет, а вот в драйверах...
Да вот и странно. В процессах упорно висит как минимум 2 гада - winupgro.exe и wmiprvse.exe. И это только то, что я точно смог идентифицировать. Помимо этого висит ещё 3 странных процесса, которые я не помню, чтобы были раньше (люблю чистоту, поэтому, по сути, знал каждый процесс, висящий - что это и за что отвечает).
И странно, что AVZ не засёк папки Avenger в корне диска С и папку m и drivers в Application Data.
С Вашего позволения - скриншот автозагрузки.
Кроме того, когда я смотрел содержимое папок из-под Win XPE, то я обнаружил, что в папках, о которых я говорил выше, куча всякого мусора, экзешников, архивов и так далее. Что-то я тогда удалил. В любом случае, из-под ХР ничего не видно
-
Junior Member
- Вес репутации
- 59
Логи приложил. Не видит он эти вирусы почему-то. Притом если попытаться загрузить файл winupgro.exe в онлайн-анализатор того же Касперского, то он чётко определяет его как вирус.
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
Junior Member
- Вес репутации
- 59
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\documents and settings\Ваня\application data\drivers\winupgro.exe','');
DeleteFile('c:\documents and settings\Ваня\application data\drivers\winupgro.exe');
DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Последний раз редактировалось Макcим; 11.01.2009 в 10:38.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Вроде бы поборол вирус ночью по крайней мере мне так кажется, так что карантин уже не могу прислать, но присылаю только что сделанные логи на предмет поиска оставшихся хвостов.
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
Junior Member
- Вес репутации
- 59
-
Вы же скачали AVZ по ссылке, которую вам дал Maxim. Так почему в нём логи не делаете?
Если уж начали делать в другом AVZ, то хотя бы базы обновили. А то базы от 16.04 уже не актуальны
Файл- Обновление баз.
Логи переделать.
-
-
Junior Member
- Вес репутации
- 59
light59
Вы же скачали AVZ по ссылке, которую вам дал Maxim. Так почему в нём логи не делаете?
Если уж начали делать в другом AVZ, то хотя бы базы обновили. А то базы от 16.04 уже не актуальны
Файл- Обновление баз.
Логи переделать.
В нём логи решил не делать, ибо он не показал тех вирусов, о которых я знал и без него. А после их удаления, обычный avz начал запускаться, поэтому решил пользоваться им.
А базы действительно забыл обновить, по запарке сейчас сделаю, спасибо!
-
Junior Member
- Вес репутации
- 59
Новые логи приложил к сообщению!
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('srosa');
DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
Повторить логи...
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил, логи приложил!
Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.
-
-
-
Junior Member
- Вес репутации
- 59
Спасибо! Теперь я спокоен
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\ваня\\application data\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.afl (DrWEB: Win32.HLLM.Beagle.247)
-