-
Junior Member
- Вес репутации
- 53
Вирус Beagle
Поймал на ноут вирус Beagle. Внимательно прочитал ваши правила и попытался их выполнить, ничего не получилось по следующим причинам:
1. В Безопасном режиме система не грузиться - после вопроса о загрузке sptd.sys вываливается синий экран с надписью об ошибке на системном диске, при указании его, sptd.sys, не грузить происходит тоже самое.
2. Ни одна из утилит указанных в правилах не запускается при обычной загрузке. Антивирусник KAV7 и Брэндмауэр умерли, DrWeb Cureit тоже не запускается.
Помогите пожалуйста!?!?!?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте IceSword. В разделе "Registry" по "My computer" жмем правой кнопкой "Find Text" вбиваем "srosa" все что найдет удаляйте правой кнопкой Delete.
2. Скачайте avast! antirootkit tool у меня в подписи.
3. Запустите его и просканируйте им машину.
4. Как закончит проверять, выберите "Fix now" и перегрузитесь.
5. После перезагрузки в диспетчере убейте процесс winupgro.exe.
6. Попробуйте сделать логи этой версией AVZ http://rapidshare.com/files/240879548/Special_avz.zip
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Утилита IceSword не запускается, начал сканировать Avast.
Самое интересное, что процесса winupgro.exe нет!
-
Как сможете запустить AVZ, делайте только лог virusinfo_syscheck.
Сообщение от
Malyar
Утилита IceSword не запускается
Какая операционка?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Операционка ХР. Avast тоже загнулся. AVZ которую взял по вашей рекомендации не запускается!
-
Сообщение от
Malyar
Avast тоже загнулся.
Его невозможно запустить?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
система ничего не говорит, просто не запускает и все!
-
Ему удалось завершить сканирование, он завис или что? После перезагрузки попробуйте еще раз провериться.
Последний раз редактировалось Alex_Goodwin; 20.10.2009 в 10:44.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Скачайте вот этот авз и им сделайте логи http://ifolder.ru/12469206
-
-
Junior Member
- Вес репутации
- 53
[QUOTE=Aleksandra;489396]Ему удалось завершить сканирование, он завис или что?[/QUO
система написала "произошла ошибка, программа будет закрыта"
Добавлено через 45 минут
а разве можно сделать логи без сканирования?
Добавлено через 2 минуты
а разве можно сделать логи без сканирования?
Последний раз редактировалось Malyar; 20.10.2009 в 10:53.
Причина: Добавлено
-
Вы мне в личку написали:
Ваша AVZ запустилась и сейчас работает, но выдало ошибки из-за отсутствия установленного драйвера AVZPM:
п. 1.2 Поиск перехватчиков API, работающих в KernelMode
п. 1.4. Поиск маскировки процессов и драйверов
Процесс winupgro.exe программа нашла!
логи по правилам сделать не получается? логи авз в смысле.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
Вы мне в личку написали:
логи по правилам сделать не получается? логи авз в смысле.
Логи выложу завтра, бежать надо!
Файлики моих логов от AVZ. HT запустить так и не удалось, поэтому все 2 лога!
Последний раз редактировалось Rene-gad; 21.10.2009 в 10:17.
-
Съемный диск H:, который был при создании логов, подключите и оставьте подключенным.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
QuarantineFile('H:\storage\sys.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe','');
QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys','');
QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe','');
DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe');
DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\storage\sys.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=57694).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
содержимое карантина выгрузил.
обновленные логи. НТ так и не запускается
Последний раз редактировалось Rene-gad; 21.10.2009 в 10:16.
-
Выполните скрипт против бигля:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
после перезагрузки лог от этого скрипта + стандартные.
-
-
Junior Member
- Вес репутации
- 53
Всем большое спасибо за помощь!
ОС пришлось снести, т.к. упали многие драйвера!
тему можно закрыть.
-
-
-
Junior Member
- Вес репутации
- 53
Я честно говоря не понял, после скриптов или нет.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\max\application data\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Win32.HLLM.Beagle.299, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
- c:\documents and settings\max\application data\drivers\winupgro.exe - Trojan-Downloader.Win32.Bagle.bgp ( NOD32: Win32/Bagle.TC worm )
- c:\recycler\s-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )
- h:\autorun.inf - P2P-Worm.Win32.Palevo.jcn ( BitDefender: Trojan.Autorun.AJX, NOD32: INF/Autorun virus )
- h:\storage\sys.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )
-