Поймал вирус Beagle ...никак не избавиться

**Aleksandra** · 29.10.2009, 03:50

Хорошо. Скачайте autoruns от sysinternals http://technet.microsoft.com/en-us/s.../bb963902.aspx Запустите, разверните окно и сделайте скриншот. Должно быть примерно так http://www.ixbt.com/soft/sysinternals-autoruns.shtml

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**loungeserj** · 29.10.2009, 04:01

Перегрузился создал новую папку и АВЗ дал нормальный карантин,скриншот авторана ещё нужен?

**Aleksandra** · 29.10.2009, 04:04

Давайте.

Добавлено через 2 минуты

Все я его увидела! Карантин у нас. Сейчас напишу скрипт.

**loungeserj** · 29.10.2009, 04:11

В скриншот всё не влезет если фотать everything (или другую закладку? )
можно сохранить в текстовый файл но там не понятно или с их фирменным разрешением .арн (но весит 6 метроов ). Как лучше сделать.У меня ещё есть Gmer ,он кстати в хайд процесс показывает что-то.

**Aleksandra** · 29.10.2009, 04:13

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('srosa');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
 DeleteFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','H/PC Connection Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ropfjjpl');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Сделайте полный комплект логов используя обычный AVZ, только не забудьте обновить его базы.

**loungeserj** · 29.10.2009, 04:24

ошибка в 11:1

**Aleksandra** · 29.10.2009, 04:27

Сорри. Уже исправила. Выполняйте.

**loungeserj** · 29.10.2009, 04:38

winupgro.exe всё ещё жив,авз нормальный не пашет.Могу отчёт из Рут Репила по процессам прислать,он его как раз видит,не надо?

**Aleksandra** · 29.10.2009, 04:44

Давайте + логи полиморфной версии.

**loungeserj** · 29.10.2009, 05:01

пока вот,авз пришпилило сканирует...а ну и winupgro .exe впроцессах наверное в логе ща не видно будет так как я его перед этим убил,а так он лежит в aplication data/drivers

**Aleksandra** · 29.10.2009, 05:12

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('srosa');
 DeleteFile('C:\WINDOWS\System32\Drivers\sr.sys');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
 DeleteFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','H/PC Connection Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ropfjjpl');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Сделайте полный комплект логов используя обычный AVZ, только не забудьте обновить его базы.

**loungeserj** · 29.10.2009, 22:01

Спасибо,всё выполнил,логи приложил.По-моему последний гадёныш остался.

**Aleksandra** · 29.10.2009, 22:05

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\downld\159406.exe','');
 QuarantineFile('C:\123\cmos.com','');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\m\flec006.exe','');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe','');
 DeleteService('srosa');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\m\flec006.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mule_st_key');
 DeleteFile('C:\123\cmos.com');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\downld\*.*');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи + приложите B_d.txt и boot_clr_B_d.log.

Скрипт выполните два раза!

**loungeserj** · 30.10.2009, 00:03

Логи

**Aleksandra** · 30.10.2009, 00:22

1. Скачайте avast! antirootkit tool. Проверьте им машину. После проверки выбираем "Fix now" и rebooting...
2. Отключите восстановление системы и антивирус.
3. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Documents and Settings\Sergey\Application Data\drivers\downld', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Sergey\Application Data\drivers\downld');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

4. Повторите логи.

**loungeserj** · 30.10.2009, 01:29

Авас ташёл 245 файлов нашал на фикс ,потом на ребут.Потом фикс авз и логи.

**Aleksandra** · 30.10.2009, 01:34

Ничего зловредного в логах нет. Еще есть проблемы?

**loungeserj** · 30.10.2009, 01:41

Нет,вроде всё в порядке.Большое спасибо =) А да и я вас спрашивал в личке,можете ответить.Спасибо ещё раз =)

**Aleksandra** · 30.10.2009, 01:48

Сообщение от loungeserj

А да и я вас спрашивал в личке,можете ответить.

О чем? Продублируйте письмо в лс.

**CyberHelper** · 31.10.2009, 01:48

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\sergey\application data\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Win32.HLLM.Beagle.324, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
2. c:\program files\microsoft activesync\wcescomm.exe - Trojan-Downloader.Win32.Bagle.bji

Поймал вирус Beagle ...никак не избавиться (заявка № 58620)

Опции темы

Итог лечения

Похожие темы

Поймал вирус, помогите пожалуйста узнать какой и как избавиться!!!

поймал вирус не могу избавиться

Поймал вирус Beagle

Поймал вирус и никак не могу избавиться.

помогите избавиться от Win32.HLLM.Beagle

Метки для этой темы

Ваши права в разделе