Junior Member
Вес репутации
56
подхватил beagle -email
результат:
- не запускается и не устанавливается ни одна антивирусная программа (cureit drweb kav avast и т.д)
-не запускаются утилиты avz HiJackThis в том числе и переименованные
-не запускается без. режим
-вирус постоянно рыскает в сети (модем постоянно мигает)
-периодические подвисания и сильные нагрузки на проц браузерами
запускал rescue disk от касперского - ничего толком не проверяет обнаружил 2 файла с beagle -email
подскажите что делать....
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
У меня из подписи скачайте AVZ и попробуйте им.
Junior Member
Вес репутации
56
с Вашей подписи скачать не удалось "error", скачал другой полиморфный AVZ результат - на мгновение появляется окно avz и сразу тухнет
Добавлено через 53 минуты
чудом удалось запустить malwarebytes
сделал быструю проверку
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\down (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.
Заражено файлов:
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\down\134062.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\down\30876703.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft Common\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
перегрузил... все ровно не помогло
Последний раз редактировалось F1nder; 16.02.2009 в 22:55 .
Причина: Добавлено
Junior Member
Вес репутации
56
после проверки malwarebytes без перезагрузки удалось запустить AVZ
Вложения
Junior Member
Вес репутации
56
предыдущие проверки делал без обновления баз AVZ
прикрепляю новые логи...
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\download\www.chertezhi.ru\modules\files\cache\files\admin-zdanie15.rar','');
QuarantineFile('D:\Work\Газз\Документация + программа.rar','');
QuarantineFile('D:\downloader\Архивы\klogger.zip','');
QuarantineFile('C:\windows\system32\wintems.exe','');
DeleteService('Winwr33');
DeleteService('Winlw16');
DeleteService('Winbc20');
QuarantineFile('C:\windows\System32\Drivers\Winwr33.sys','');
QuarantineFile('C:\windows\System32\Drivers\Winlw16.sys','');
QuarantineFile('C:\windows\System32\Drivers\Winbc20.sys','');
DeleteService('mnmdd');
DeleteService('Mjn73');
QuarantineFile('C:\windows\System32\Drivers\Mjn73.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gcvf.sys','');
QuarantineFile('C:\windows\system32\Drivers\MAG.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
DeleteFile('C:\windows\System32\Drivers\Mjn73.sys');
DeleteFile('C:\windows\System32\Drivers\Winbc20.sys');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\drivers\downld\','*.exe', false);
DeleteFile('C:\windows\System32\Drivers\Winlw16.sys');
DeleteFile('C:\windows\System32\Drivers\Winwr33.sys');
DeleteFile('C:\windows\system32\wintems.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=39838
Потом лог virusinfo_syscure повторите, заразы там много.. хотя AVZ сам немало выкосил уже...
PS: Avast! и NOD вместе - это перебор, оставить нужно будет что-то одно
Junior Member
Вес репутации
56
карантин выслал
повторный лог прилагаю... но по моему зараза осталась
Вложения
выполните
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('xmvuiyle.dll');
DeleteFile('C:\download\www.chertezhi.ru\modules\files\cache\files\admin-zdanie15.rar');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\download\www.chertezhi.ru\modules\files\cache\f iles\admin-zdanie15.rar - Email-Worm.Win32.Rays (DrWEB: archive: Win32.HLLW.Generic.98)