-
Junior Member
- Вес репутации
- 63
Не могу ничего выполнить [Email-Worm.Win32.Bagle.of, Trojan-Downloader.Win32.Bagle.amf
]
Здравствуйте! Не могу зайти в безопасный режим, не могу запустить ни один экзешник, который имеет отношение к антивирусному, даже после переименования, по глупости запустил Win32/Themida, вот как эта гадость обзывается разными антивирусниками. Да.. еще она сразу вырубила антивирусник и перегрузила комп... (( ПОмогите пожалуйста
AVG 8.0.0.229 2009.01.15 Win32/Themida
CAT-QuickHeal 10.00 2009.01.15 (Suspicious) - DNAScan
DrWeb 4.44.0.09170 2009.01.15 Trojan.Packed.650
Fortinet 3.117.0.0 2009.01.15 W32/Bagle.ACJ!tr.dldr
McAfee 5495 2009.01.14 New Malware.jn
McAfee+Artemis 5495 2009.01.14 New Malware.jn
Prevx1 V2 2009.01.15 Cloaked Malware
SecureWeb-Gateway 6.7.6 2009.01.15 Win32.Malware.gen (suspicious)
Sophos 4.37.0 2009.01.15 Sus/ComPack-C
TheHacker 6.3.1.4.220 2009.01.14 W32/Behav-Heuristic-064
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте этот AVZ http://depositfiles.com/files/5k0qihqas и сделайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 63
Вот логи... Hijack не могу запустить по прежнему. Спасибо.
-
Выполните скрипт 2 раза!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('C:\Documents and Settings\Люба\Главное меню\Программы\Автозагрузка\AUTOEXEC.BAT','');
QuarantineFile('C:\WINDOWS\System32\drivers\pxark.sys','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('C:\Documents and Settings\Люба\Application Data\drivers\wfsintwq.sys ',' ');
QuarantineFile('c:\documents and settings\Люба\application data\m\flec006.exe ',' ');
QuarantineFile('c:\documents and settings\Люба\application data\drivers\winupgro.exe ',' ');
DeleteFile('c:\documents and settings\Люба\application data\m\flec006.exe ');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('c:\documents and settings\Люба\application data\drivers\winupgro.exe ');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('C:\Documents and Settings\Люба\Application Data\drivers\wfsintwq.sys ');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 63
Скрипт выполнил два раза, вот логи
-
Сделайте полную проверку CureIT...
-
-
Junior Member
- Вес репутации
- 63
Большое спасибо, CureIT нашел много дупликатов этого вируса и удалил, сейчас все кажется в порядке.
-
-
-
Junior Member
- Вес репутации
- 63
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\люба\\application data\\drivers\\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.amj
- c:\\documents and settings\\люба\\application data\\drivers\\winupgro.exe - Trojan-Downloader.Win32.Bagle.amf (DrWEB: Trojan.Packed.650)
- c:\\documents and settings\\люба\\application data\\m\\flec006.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\mdelk.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00005.dta - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00006.dta - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00013.dta - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00014.dta - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00016.dta - Trojan-Downloader.Win32.Bagle.amj
- \\quarantine\\2009-01-16\\bcqr00018.dta - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
- \\quarantine\\2009-01-16\\bcqr00020.dta - Trojan-Downloader.Win32.Bagle.amf (DrWEB: Trojan.Packed.650)
-