Показано с 1 по 19 из 19.

Букет вирусов (Bagle + winupgro.exe +...) [Trojan-Downloader.Win32.Bagle.avs ] (заявка № 36964)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59

    Thumbs up Букет вирусов (Bagle + winupgro.exe +...) [Trojan-Downloader.Win32.Bagle.avs ]

    Здравствуйте!

    Сегодня я имел неосторожность поверить своему антивирусу (НОД32) и запустить подозрительный файл, скачанный из eMule. Стараюсь быть аккуратным и ничего лишнего не открывать, но уж очень нужен был этот экзешник (если бы он, конечно, оказался настоящим).
    Итог плачевен - целый букет вирусов, который очень классно нейтрализовал большинство методов удаления. Что я имею в виду? Отключился антивирус, блокирован запуск и манипуляции с любыми антивирусами (AVZ, CureIt! и пр.), не работает safe-mode. При этом сама система работает исправно, но вирус живёт, это видно и в диспетчере задач.

    Следуя инструкции на сайте сделать что-либо не представлялось возможным (не запускается avz, базы avz сами собой удаляются). Поэтому я загрузился из-под Windows XPE и проделал всё, что было написано в инструкции.
    Файлы приложил, надеюсь Вы мне сможете помочь. Заранее большое спасибо!
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Скачайте вот эту сборку AVZ. Далее по правилам. И ни какой самодеятельности!

  4. #3
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Спасибо!
    Загрузился под обычной ХР и начал делать всё по инструкции. Процесс длится уже около часа. Программа застряла на архиве (tar.gz) Джумлы весом в 2 мегабайта. Сканирует, судя по индикатору, 1 файл в 20-25 секунд. Боюсь, так он никогда не закончит, особенно если учесть, что у меня припасён для него дамп базы весом в30 мегабайт

    P.S. Судя по текущему логу, кстати, в запущенных процессах он не увидел ни одного вируса

  5. #4
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Наконец-то закончилось сканирование. Приложил два файла. HiJackThisпод ХР не запустился
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\stsystra.exe','');
     QuarantineFile('C:\Program Files\Stickies\stickies.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\RxFilter.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys','');
     QuarantineFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys','');
     QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
     QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
     QuarantineFile('c:\windows\system32\wltrysvc.exe','');
     DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
     DeleteFile('C:\DOCUME~1\76C4~1\LOCALS~1\Temp\DX9\SessionLauncher.exe');
     DeleteFile('C:\WINDOWS\system32\NSNDIS5.SYS');
     BC_ImportALL;
     BC_DeleteSvc('NSNDIS5');
     BC_DeleteSvc('srosa');
     BC_DeleteSvc('SessionLauncher');
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

    Добавлено через 1 минуту

    Цитата Сообщение от VaNcHeR Посмотреть сообщение
    P.S. Судя по текущему логу, кстати, в запущенных процессах он не увидел ни одного вируса
    Вы правы, в процессах вируса действительно нет, а вот в драйверах...
    Последний раз редактировалось Макcим; 09.01.2009 в 22:52. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Maxim
    Карантин закачал. Логи поставил повторно делаться.

    Вы правы, в процессах вируса действительно нет, а вот в драйверах...
    Да вот и странно. В процессах упорно висит как минимум 2 гада - winupgro.exe и wmiprvse.exe. И это только то, что я точно смог идентифицировать. Помимо этого висит ещё 3 странных процесса, которые я не помню, чтобы были раньше (люблю чистоту, поэтому, по сути, знал каждый процесс, висящий - что это и за что отвечает).
    И странно, что AVZ не засёк папки Avenger в корне диска С и папку m и drivers в Application Data.
    С Вашего позволения - скриншот автозагрузки.
    Кроме того, когда я смотрел содержимое папок из-под Win XPE, то я обнаружил, что в папках, о которых я говорил выше, куча всякого мусора, экзешников, архивов и так далее. Что-то я тогда удалил. В любом случае, из-под ХР ничего не видно

  8. #7
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Логи приложил. Не видит он эти вирусы почему-то. Притом если попытаться загрузить файл winupgro.exe в онлайн-анализатор того же Касперского, то он чётко определяет его как вирус.
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  9. #8
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Ап!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\documents and settings\Ваня\application data\drivers\winupgro.exe','');
     DeleteFile('c:\documents and settings\Ваня\application data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.
    Последний раз редактировалось Макcим; 11.01.2009 в 10:38. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Вроде бы поборол вирус ночью по крайней мере мне так кажется, так что карантин уже не могу прислать, но присылаю только что сделанные логи на предмет поиска оставшихся хвостов.
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  12. #11
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Ап!

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Вы же скачали AVZ по ссылке, которую вам дал Maxim. Так почему в нём логи не делаете?
    Если уж начали делать в другом AVZ, то хотя бы базы обновили. А то базы от 16.04 уже не актуальны
    Файл- Обновление баз.
    Логи переделать.

  14. #13
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    light59
    Вы же скачали AVZ по ссылке, которую вам дал Maxim. Так почему в нём логи не делаете?
    Если уж начали делать в другом AVZ, то хотя бы базы обновили. А то базы от 16.04 уже не актуальны
    Файл- Обновление баз.
    Логи переделать.
    В нём логи решил не делать, ибо он не показал тех вирусов, о которых я знал и без него. А после их удаления, обычный avz начал запускаться, поэтому решил пользоваться им.
    А базы действительно забыл обновить, по запарке сейчас сделаю, спасибо!

  15. #14
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Новые логи приложил к сообщению!
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('srosa');
    DeleteFile('C:\Documents and Settings\Ваня\Application Data\drivers\srosa.sys');
    BC_ImportDeletedList;  
    ExecuteSysClean;
    BC_DeleteSvc('srosa');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи...

  17. #16
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Скрипт выполнил, логи приложил!
    Последний раз редактировалось VaNcHeR; 05.05.2009 в 12:31.

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  19. #18
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    25
    Вес репутации
    59
    Спасибо! Теперь я спокоен

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ваня\\application data\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.afl (DrWEB: Win32.HLLM.Beagle.247)


  • Уважаемый(ая) VaNcHeR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Букет вирусов
      От brutal_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.05.2012, 21:34
    2. Букет вирусов
      От Ulja в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.07.2010, 20:15
    3. Букет вирусов
      От Brothers13 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 13.01.2010, 21:19
    4. букет вирусов
      От Artur Z. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 09:01
    5. Букет вирусов
      От art1k в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.11.2008, 20:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00319 seconds with 19 queries