Показано с 1 по 19 из 19.

Вирус Beagle (заявка № 57694)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27

    Thumbs down Вирус Beagle

    Поймал на ноут вирус Beagle. Внимательно прочитал ваши правила и попытался их выполнить, ничего не получилось по следующим причинам:
    1. В Безопасном режиме система не грузиться - после вопроса о загрузке sptd.sys вываливается синий экран с надписью об ошибке на системном диске, при указании его, sptd.sys, не грузить происходит тоже самое.
    2. Ни одна из утилит указанных в правилах не запускается при обычной загрузке. Антивирусник KAV7 и Брэндмауэр умерли, DrWeb Cureit тоже не запускается.
    Помогите пожалуйста!?!?!?

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Скачайте IceSword. В разделе "Registry" по "My computer" жмем правой кнопкой "Find Text" вбиваем "srosa" все что найдет удаляйте правой кнопкой Delete.

    2. Скачайте avast! antirootkit tool у меня в подписи.

    3. Запустите его и просканируйте им машину.

    4. Как закончит проверять, выберите "Fix now" и перегрузитесь.

    5. После перезагрузки в диспетчере убейте процесс winupgro.exe.

    6. Попробуйте сделать логи этой версией AVZ http://rapidshare.com/files/240879548/Special_avz.zip
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Утилита IceSword не запускается, начал сканировать Avast.
    Самое интересное, что процесса winupgro.exe нет!

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Как сможете запустить AVZ, делайте только лог virusinfo_syscheck.

    Цитата Сообщение от Malyar Посмотреть сообщение
    Утилита IceSword не запускается
    Какая операционка?
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Операционка ХР. Avast тоже загнулся. AVZ которую взял по вашей рекомендации не запускается!

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от Malyar Посмотреть сообщение
    Avast тоже загнулся.
    Его невозможно запустить?
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    система ничего не говорит, просто не запускает и все!

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ему удалось завершить сканирование, он завис или что? После перезагрузки попробуйте еще раз провериться.
    Последний раз редактировалось Alex_Goodwin; 20.10.2009 в 10:44.
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Скачайте вот этот авз и им сделайте логи http://ifolder.ru/12469206

  11. #10
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    [QUOTE=Aleksandra;489396]Ему удалось завершить сканирование, он завис или что?[/QUO

    система написала "произошла ошибка, программа будет закрыта"

    Добавлено через 45 минут

    а разве можно сделать логи без сканирования?

    Добавлено через 2 минуты

    а разве можно сделать логи без сканирования?
    Последний раз редактировалось Malyar; 20.10.2009 в 10:53. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Вы мне в личку написали:
    Ваша AVZ запустилась и сейчас работает, но выдало ошибки из-за отсутствия установленного драйвера AVZPM:
    п. 1.2 Поиск перехватчиков API, работающих в KernelMode
    п. 1.4. Поиск маскировки процессов и драйверов

    Процесс winupgro.exe программа нашла!
    логи по правилам сделать не получается? логи авз в смысле.

  13. #12
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Вы мне в личку написали:


    логи по правилам сделать не получается? логи авз в смысле.
    Логи выложу завтра, бежать надо!

    Файлики моих логов от AVZ. HT запустить так и не удалось, поэтому все 2 лога!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.10.2009 в 10:17.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Съемный диск H:, который был при создании логов, подключите и оставьте подключенным.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
     QuarantineFile('H:\storage\sys.exe','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe','');
     QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe');
     DeleteFile('H:\autorun.inf');
     DeleteFile('H:\storage\sys.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=57694).
    Сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    содержимое карантина выгрузил.

    обновленные логи. НТ так и не запускается
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.10.2009 в 10:16.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните скрипт против бигля:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    после перезагрузки лог от этого скрипта + стандартные.

  17. #16
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Всем большое спасибо за помощь!
    ОС пришлось снести, т.к. упали многие драйвера!
    тему можно закрыть.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Упали после скриптов?

  19. #18
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Я честно говоря не понял, после скриптов или нет.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\max\application data\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Win32.HLLM.Beagle.299, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
      2. c:\documents and settings\max\application data\drivers\winupgro.exe - Trojan-Downloader.Win32.Bagle.bgp ( NOD32: Win32/Bagle.TC worm )
      3. c:\recycler\s-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )
      4. h:\autorun.inf - P2P-Worm.Win32.Palevo.jcn ( BitDefender: Trojan.Autorun.AJX, NOD32: INF/Autorun virus )
      5. h:\storage\sys.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )


  • Уважаемый(ая) Malyar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус Win32.HLLM.Beagle.677
      От pavlek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.07.2011, 16:35
    2. Поймал вирус Beagle
      От Decoded в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.05.2010, 15:43
    3. Поймал вирус Beagle ...никак не избавиться
      От loungeserj в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 31.10.2009, 01:48
    4. Ответов: 9
      Последнее сообщение: 27.03.2009, 17:24
    5. Beagle
      От Veldt в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.01.2008, 11:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00714 seconds with 23 queries