Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Поймал вирус Beagle ...никак не избавиться (заявка № 58620)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41

    Thumbs up Поймал вирус Beagle ...никак не избавиться

    Здравствуйте,поймал этот вирус Beagle + winupgro.exe и srosa2.sys. Очень нужна помощь в удалении.Естественно антивирусы не запускаются переименовывание AVZ в pif не помогает.Поэтому сканировал систему через RootRepeal сейчас приложу логи. Aswar запускается сканирует и даже находит чтото,но через какое-то время егго вырубает.Восстановление системы отключил.Да и ещё звук через раз работать стал.
    Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Я писал выше что ни одна из утилит Avz или HiJackThis не запускаются,мелькают секунду и их вырубает.Или дело в другом?

  5. #4

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Тоже не запускается,я скачивал уже ,и сам переименовывал,не хочет.
    Может через лив СД или ещё какую-нить прогу.Логи от RootRepeal не подходят?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от loungeserj Посмотреть сообщение
    Логи от RootRepeal не подходят?
    C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe
    В RootRepeal правой кнопкой мыши выберите Wipe File и на перезагрузку... Попробуйте запустить полимофный AVZ и сделать лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    После вайпа и перезагрузки он ожил заново,тогда просто убил его и сделал логи.
    Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Моя.
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Это вы так темы делите ? =)

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,449
    Вес репутации
    905
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Моя.
    Sorry

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DelBHO('{F7303337-2AC6-4C19-9F8F-278ED8DB780E}');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\oallib.dll','');
     DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
     QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
     QuarantineFile('mncpmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
     QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
     QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4874927500-0262974081-787662380-2021\sysdate.exe','');
     QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
     QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
     QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE','');
     QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
     QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE','');
     QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
     QuarantineFile('0.exe','');
     DeleteService('xkffrluw');
     DeleteService('WINIO');
     QuarantineFile('C:\WINDOWS\system32\winio.sys','');
     DeleteService('rwyjitzf');
     DeleteService('rthfwbko');
     DeleteService('ropfjjpl');
     DeleteService('qxymvkun');
     DeleteService('psbujazx');
     DeleteService('pglfdpwk');
     DeleteService('lqneufjb');
     DeleteService('lhmljaln');
     DeleteService('kwhbuyyw');
     DeleteService('jvpeqjlu');
     DeleteService('jkuohdyd');
     DeleteService('iqufwvhs');
     DeleteService('gdzfthdh');
     DeleteService('epjflbuy');
     DeleteService('egmjkdch');
     DeleteService('bzymthds');
     DeleteService('btjobmqa');
     DeleteService('axlzkryk');
     DeleteService('agosqmpo');
     DeleteService('Mxqs Service');
     QuarantineFile('Mxqs Service.sys','');
     QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
     DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
     DeleteFile('Mxqs Service.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\agosqmpo.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\axlzkryk.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\btjobmqa.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\bzymthds.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\egmjkdch.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\epjflbuy.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\gdzfthdh.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\iqufwvhs.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\jkuohdyd.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\jvpeqjlu.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kwhbuyyw.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lhmljaln.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lqneufjb.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\pglfdpwk.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\psbujazx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\qxymvkun.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\rthfwbko.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\rwyjitzf.sys');
     DeleteFile('C:\WINDOWS\system32\winio.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\xkffrluw.sys');
     DeleteFile('0.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4874927500-0262974081-787662380-2021\sysdate.exe');
     DeleteFile('mncpmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Network DHCP Manager');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRunServices','Microsoft Network DHCP Manager');
     RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Network DHCP Manager');
     DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\oallib.dll');
     DeleteFile('F:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58620

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    winupgro.exe всё ещё живо, также убил процесс и сделал лог
    Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
     QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
     QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
     QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
     QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
     QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
     QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
     DeleteService('ropfjjpl');
     DeleteService('srosa');
     QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
     DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58620

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Нод и так не запускался так что отключать вроде как нечего,если тока удалять.Выполнил,гад пока жив,так же для запуска авз убивал процесс.
    Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от loungeserj Посмотреть сообщение
    Выполнил,гад пока жив,так же для запуска авз убивал процесс.
    Естественно, так как он еще в автозагрузке. Карантин нужен, чтобы знать где он там.
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Я отсылал какрантин,естественно после 2 скрипта,отослал ещё раз.(пишет что данный файл был загружен)ща имя поменяю.Да не вроде отослан.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В карантине мусор. Очистите папку карантина ручками. После выполнения скрипта проверьте карантин. В нем должно быть много файлов.

    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
     QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
     QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
     QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
     QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
     QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
     QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
     DeleteService('ropfjjpl');
     QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
     DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    Выполнил скрипт ещё раз,карантин вообще не создался,зиповский файл всмыле.АВЗ запускаю естественно полиморфный.Другой не пашет.Я что-то не так делаю?
    Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В папке с AVZ должен быть карантин. Посмотрите там есть что?
    Наша служба, будто сердце, отдыха не знает никогда.

  21. #20
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.10.2009
    Сообщений
    69
    Вес репутации
    41
    нет

  • Уважаемый(ая) loungeserj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 16
      Последнее сообщение: 12.11.2011, 20:55
    2. поймал вирус не могу избавиться
      От Heo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.05.2011, 22:37
    3. Поймал вирус Beagle
      От Decoded в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.05.2010, 15:43
    4. Поймал вирус и никак не могу избавиться.
      От Каюра в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.07.2009, 19:50
    5. помогите избавиться от Win32.HLLM.Beagle
      От cedevit в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00542 seconds with 20 queries