Показано с 1 по 19 из 19.

Вирус Beagle (заявка № 57694)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53

    Thumbs down Вирус Beagle

    Поймал на ноут вирус Beagle. Внимательно прочитал ваши правила и попытался их выполнить, ничего не получилось по следующим причинам:
    1. В Безопасном режиме система не грузиться - после вопроса о загрузке sptd.sys вываливается синий экран с надписью об ошибке на системном диске, при указании его, sptd.sys, не грузить происходит тоже самое.
    2. Ни одна из утилит указанных в правилах не запускается при обычной загрузке. Антивирусник KAV7 и Брэндмауэр умерли, DrWeb Cureit тоже не запускается.
    Помогите пожалуйста!?!?!?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Скачайте IceSword. В разделе "Registry" по "My computer" жмем правой кнопкой "Find Text" вбиваем "srosa" все что найдет удаляйте правой кнопкой Delete.

    2. Скачайте avast! antirootkit tool у меня в подписи.

    3. Запустите его и просканируйте им машину.

    4. Как закончит проверять, выберите "Fix now" и перегрузитесь.

    5. После перезагрузки в диспетчере убейте процесс winupgro.exe.

    6. Попробуйте сделать логи этой версией AVZ http://rapidshare.com/files/240879548/Special_avz.zip
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    Утилита IceSword не запускается, начал сканировать Avast.
    Самое интересное, что процесса winupgro.exe нет!

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Как сможете запустить AVZ, делайте только лог virusinfo_syscheck.

    Цитата Сообщение от Malyar Посмотреть сообщение
    Утилита IceSword не запускается
    Какая операционка?
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    Операционка ХР. Avast тоже загнулся. AVZ которую взял по вашей рекомендации не запускается!

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от Malyar Посмотреть сообщение
    Avast тоже загнулся.
    Его невозможно запустить?
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    система ничего не говорит, просто не запускает и все!

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ему удалось завершить сканирование, он завис или что? После перезагрузки попробуйте еще раз провериться.
    Последний раз редактировалось Alex_Goodwin; 20.10.2009 в 10:44.
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Скачайте вот этот авз и им сделайте логи http://ifolder.ru/12469206

  11. #10
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    [QUOTE=Aleksandra;489396]Ему удалось завершить сканирование, он завис или что?[/QUO

    система написала "произошла ошибка, программа будет закрыта"

    Добавлено через 45 минут

    а разве можно сделать логи без сканирования?

    Добавлено через 2 минуты

    а разве можно сделать логи без сканирования?
    Последний раз редактировалось Malyar; 20.10.2009 в 10:53. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Вы мне в личку написали:
    Ваша AVZ запустилась и сейчас работает, но выдало ошибки из-за отсутствия установленного драйвера AVZPM:
    п. 1.2 Поиск перехватчиков API, работающих в KernelMode
    п. 1.4. Поиск маскировки процессов и драйверов

    Процесс winupgro.exe программа нашла!
    логи по правилам сделать не получается? логи авз в смысле.

  13. #12
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Вы мне в личку написали:


    логи по правилам сделать не получается? логи авз в смысле.
    Логи выложу завтра, бежать надо!

    Файлики моих логов от AVZ. HT запустить так и не удалось, поэтому все 2 лога!
    Последний раз редактировалось Rene-gad; 21.10.2009 в 10:17.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Съемный диск H:, который был при создании логов, подключите и оставьте подключенным.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
     QuarantineFile('H:\storage\sys.exe','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe','');
     QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe');
     DeleteFile('H:\autorun.inf');
     DeleteFile('H:\storage\sys.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=57694).
    Сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    содержимое карантина выгрузил.

    обновленные логи. НТ так и не запускается
    Последний раз редактировалось Rene-gad; 21.10.2009 в 10:16.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Выполните скрипт против бигля:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    после перезагрузки лог от этого скрипта + стандартные.

  17. #16
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    Всем большое спасибо за помощь!
    ОС пришлось снести, т.к. упали многие драйвера!
    тему можно закрыть.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Упали после скриптов?

  19. #18
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    53
    Я честно говоря не понял, после скриптов или нет.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\max\application data\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Win32.HLLM.Beagle.299, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
      2. c:\documents and settings\max\application data\drivers\winupgro.exe - Trojan-Downloader.Win32.Bagle.bgp ( NOD32: Win32/Bagle.TC worm )
      3. c:\recycler\s-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )
      4. h:\autorun.inf - P2P-Worm.Win32.Palevo.jcn ( BitDefender: Trojan.Autorun.AJX, NOD32: INF/Autorun virus )
      5. h:\storage\sys.exe - Packed.Win32.Krap.y ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )


  • Уважаемый(ая) Malyar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус Win32.HLLM.Beagle.677
      От pavlek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.07.2011, 16:35
    2. Поймал вирус Beagle
      От Decoded в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.05.2010, 15:43
    3. Поймал вирус Beagle ...никак не избавиться
      От loungeserj в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 31.10.2009, 01:48
    4. Ответов: 9
      Последнее сообщение: 27.03.2009, 17:24
    5. Beagle
      От Veldt в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.01.2008, 11:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00172 seconds with 19 queries