Показано с 1 по 20 из 20.

Помогите убить вирус BAGLE! (заявка № 64217)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26

    Thumbs up Помогите убить вирус BAGLE!

    Две недели безуспешно борюсь с вирем. Поймал с e-mule.
    Касперский не работает. В безопасный режим не попасть.
    Проги типа avz, hijackthis и iceSword "не являются приложением win32", либо просто сообщение "программа не запускается". Переименование ничего не дает.
    Как только выхожу в интернет под своей уч.записью - начинаются скачки в D&S\..\APP.Data\drivers\*.exe
    Cureit тоже не стартует. DrWeb LiveCD от 10.12.09 просканил, кое-что нашел, удалил, а после загрузки виндов все повторилось.
    Еще я снимал винт и проверял каспером на другом компе. Удалил один файлик и всё. Но, то-ли совпадение, то-ли под действием этого же виря, после перезагрузки на том компе вылезла другая зараза про file downloader и 6-тичасовое бесплатное пользование. С ней справился.
    Был у меня полиморфный АВЗ. Запустил, лог прилагаю. Еще скачал по ссылке 1.zip hijack, его тоже удалось запустить . Лог прилагаю.
    Система WInXP Pro SP3 лицензионная, а в один прекр. момент при загрузке вышло офиц. требование о регистрации. Ну, я опять зарегил через ИНТЕРНЕТ, больше не спрашивала.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    HJT приложен, а AVZ полиморфный работает без каталога и ничего кроме вышеотправленного не создает.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт Выполнять 2 раза.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
     begin
      DeleteFileMask('%System32%\drivers\down', '*.*', true);
      DeleteDirectory('%System32%\drivers\down');
     If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
     end
      else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
     begin
      DeleteFileMask('%System32%\drivers\downld', '*.*', true);
      DeleteDirectory('%System32%\drivers\downld');
     If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
     end
      else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
     ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Попробуйте сделать логи обычным AVZ, как написано в правилах.

  6. #5
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Безопасный режим запустился. AVZ тоже заработал. SYSCURE пустой(22 байта), а карантин пишет, что такой файл уже есть.
    Выкладываю логи АВЗ.
    HJT обычный пока не работает, а полиморфный новый лог приложил.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Админ\Application Data\drivers\winupgro.exe');
     QuarantineFile(' C:\Documents and Settings\Админ\Application Data\drivers\downld\706015.exe','');
     DeleteService('UJ');
     DeleteService('ADIJVMLZE');
     DeleteFile('c:\Temp\ADIJVMLZE.exe');
     DeleteFile('c:\Temp\UJ.exe');
    DeleteFileMask('C:\Documents and Settings\Админ\Application Data\drivers\downld', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\Админ\Application Data\drivers\downld');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи(в обычном режиме).

  8. #7
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Опять по кругу. Всё как вначале, разве только безопасный режим работает.
    Файл с полиморфного АВЗ прилагаю:
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Извините, нашел логи полиморфного авз. Прилагаю:
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт из сообщения #4.

  11. #10
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    1-й раз запустил - Не помогло.
    Попробовал еще раз - не помогло.
    Что делать?

    Добавлено через 2 минуты

    Интересно, а карантин-то дошел? Весит 51МБ.
    Последний раз редактировалось kapo; 18.12.2009 в 20:28. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Карантин дошел. Всё чисто.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    А обычный AVZ с обновленными базами в безопасном режиме запускается?
    Если да, то логи переделайте.
    У вас там уже что-то другое сидит.
    Логи делать со вставленными флешками

  14. #13
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Запустил и проверил Курит'ом, чисто. Запустил восстановление касперского. Прошло успешно, но перезагрузок не потребовало и в трее значка не появилось.
    В безопасном режиме АВЗ переименованный не запускался (не является приложением win32). Перезагрузил в обычном режиме, скачал новый АВЗ, стартанул. Флешка воткнута. См. логи:
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Отключите восстановление системы! См. Приложение 1 Правил.
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\pavboot.sys','');
     DeleteService('setup_9.0.0.722_04.12.2009_17-35[1]drv');
     DeleteService('setup_9.0.0.722_04.12.2009_17-35drv');
     DeleteService('53344122');
     DeleteService('53344121');
     DeleteService('24953692');
     DeleteService('24953691');
     DeleteService('17142222');
     DeleteService('17142221');
     DeleteService('EYMZGA');
     DeleteService('JQDPNRDOKXHSKV');
     QuarantineFile('c:\Temp\JQDPNRDOKXHSKV.exe','');
     QuarantineFile('c:\Temp\EYMZGA.exe','');
     DeleteFile('c:\Temp\EYMZGA.exe');
     DeleteFile('c:\Temp\JQDPNRDOKXHSKV.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  16. #15
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    База обновляется с ошибкой. Карантин отправил. Лог прикладываю:
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Мой комп в локалке. Сейчас позвали в другой отдел. Там на компе ошибка обновления баз касперского, затем - он отключился, хотя значок в трее горит серым цветом и окно каспера пока открыто. Скачал АВЗ. Попробовал обновить там базу - тоже ошибка. Запустил проверку. Может я уже по сетке вирус раздаю?
    А если отключиться, интернета не будет.

    Добавлено через 10 часов 26 минут

    Огромное всем спасибо. Касперского переустановил. Всё пашет. Оставил комп на проверку на ночь. Уходя, заметил 15 троянов и 1 бэгл в папке восстановления системы. Тему закрываю.
    Последний раз редактировалось kapo; 22.12.2009 в 20:20. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    virusinfo_cure.zip не надо присылать.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

  19. #18
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    16
    Вес репутации
    26
    Елы-палы. А я уже авз стёр. Ничего же страшного, или сделать по-новой и прислать?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Теперь уже не чего присылать.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,537
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) kapo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите убить вирус
      От Veselov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.12.2011, 19:33
    2. помогите убить вирус
      От rjzpby в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 05.11.2009, 11:11
    3. помогите убить вирус!
      От aistar в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.10.2009, 01:27
    4. Помогите убить вирус
      От Lelic в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.08.2009, 21:42
    5. Помогите убить вирус : (
      От kykyJkee в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 27.05.2009, 00:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00799 seconds with 23 queries