Показано с 1 по 13 из 13.

Как вылечить и исправить ущерб? Trojan.Gigagen и Win32.HLLM.Beagle (заявка № 7516)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37

    Thumbs up Как вылечить и исправить ущерб? Trojan.Gigagen и Win32.HLLM.Beagle

    Экзешники антивирусов тают при создании и копировании на глазах. Поставить ни один антивирь не дает. Из реестра пропал SafeBoot, WindowsUpdate ругается на отключенные службы, которые включены.
    При сканированиии утилитой Dr.Web найдены
    Trojan.Gigagen и Win32.HLLM.Beagle
    Лечение не помогает, отлично реинкарнируются.

    Как восстановить "безопасный режим" с помощью AVZ прочитала, правда, пока не пробовала. А вот что с остальным делать, ума не приложу. В панике. Резервных копий реестра и точек восстановления системы нет.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    У вас на компьютере завелся троян с руткит-маскировкой. Для борьбы с ним необходимо:
    1. Выполнить скрипт AVZ (файл/выполнить скрипт - в открывшееся окно вставитьскрипт и нажать кнопку "Запустить":
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     // Карантин файлов
     QuarantineFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys','');
     QuarantineFile('c:\windows\system32\hldrrr.exe','');
     QuarantineFile('c:\windows\system32\wintems.exe','');
     // Добавление в сценарий команды удаления драйвера hidires\m_hook.sys
     BC_DeleteFile('\C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys'); 
     // Настройка протокола 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     // Активация драйвера 
     BC_Activate; 
     // Перезагрузка 
     RebootWindows(true); 
    end.
    В ходе выполнения скрипта ПК уйдет на перезагрузку.
    2. Пришлите согласно правилам файлы, которые попадут в карантин

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37
    Архив выложила (не уверена на счет пароля, переархивировать вручную страшно, а программа не попросила присвоить).

    Компу особо легче не стало, экзешники антивирусов продолжают пропадать. В каком месте реестра может быть это прописано и как это лечить? Третий день уже с ума схожу...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Из присланного
    c:\windows\system32\wintems.exe - Email-Worm.Win32.Bagle.hg (по Касперскому)
    C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys - Trojan.Gigagen (По DrWeb)
    c:\windows\system32\hldrrr.exe - Win32.HLLM.Beagle (по DrWeb)
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     BC_DeleteFile('c:\windows\system32\hldrrr.exe'); 
     BC_DeleteFile('c:\windows\system32\wintems.exe'); 
     BC_Activate; 
     RebootWindows(true); 
    end.
    Система будет перезагружена. После перезагрузки, выложите, пожалуйста, новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37
    После последнего скрипта запустила все с самого начала, начиная с утилиты Dr.Web
    Найден Trojan.Gigagen, после перезагрузки появляется вновь. Экзешники так и пропадают.

    В карантин попадает один файл. Его выслала.
    А логи вот.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Остался один файл. Попробуйте так: AVZ-файл-выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys');
    ExecuteSysClean;
     RebootWindows(true); 
    end.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    А если так попробовать :

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\Program Files\PTH Anti-Ban\change.exe','');
     QuarantineFile('C:\Documents and Settings\Andrej\Local Settings\Temp\upd.exE','');
     QuarantineFile('C:\PROGRA~1\2NDSPE~1\tts4ie.dll','');
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\WINDOWS\system32\hldrrr.exe','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\splitcam.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys','');
     QuarantineFile('\WINDOWS\system32\LOGOOS.EXE','');
     QuarantineFile('c:\docume~1\andrej\locals~1\temp\rarsfx0\_start.exe','');
     DeleteFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys');
     DeleteFile('C:\WINDOWS\system32\hldrrr.exe');
     DeleteFile('C:\Documents and Settings\Andrej\Local Settings\Temp\upd.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    то , что в карантине соберётся прислать .

  9. #8
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37
    После запуска скрипта от Numb карантин был пустой. После перезагрузки запустила скрипт от drongo, в карантин попало 7 файлов, архив выслала.
    После перезапуска Dr.Web находит все ту же заразу в c:\documents and settings\andrej\application data\hidires\m_hook.sys

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    У меня такой план , сначала восстановить возможность загружаться в safe mode с помощью авз . Я вижу вы уже читали . Так флаг вам в руки
    Затем в safe mode загрузиться и пролечиться с cure-it( поставить на удаление этой штуковины , когда найдёт. )

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37
    Яхоу!!! (Тайный смысл аватарки мне теперь ясен)
    Восстановила СейвБут, пролечила (нашелся тот самый сис и еще один экзешник в той же папке), удалила, перезагрузила - "вирусов не обнаружено", запускающие файлы Аваста и прочих антивирусов, (на которых теперь надежды никакой ) не пропадают. Мужчины, я вас люблю!

  12. #11
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    37
    Ах, да. Забыла... С П А С И Б О!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Bitte schön
    Только, держать один антивирусный монитор в системе , иначе хуже будет .
    Если возможно, поддерживайте нас http://virusinfo.info/showthread.php?t=3519
    http://virusinfo.info/showthread.php?t=1739

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\andrej\\application data\\hidires\\m_hook.sys - Email-Worm.Win32.Bagle.gy (DrWEB: Trojan.Gigagen)
      2. c:\\windows\\system32\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.bk (DrWEB: Win32.HLLM.Beagle)
      3. c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.hg (DrWEB: Win32.HLLM.Beagle)


  • Уважаемый(ая) fraulein, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 37
      Последнее сообщение: 11.06.2010, 18:23
    2. Win32.HLLm.Beagle, Trojan.PWS.Kone 3
      От Юля-к в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:27
    3. Trojan.Gigagen + Win32.HLLM.Beagle
      От psylence в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 01:36
    4. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    5. win32.hllm.beagle как вылечить?
      От Sorvict в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.03.2008, 23:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00582 seconds with 23 queries