Показано с 1 по 13 из 13.

Как вылечить и исправить ущерб? Trojan.Gigagen и Win32.HLLM.Beagle (заявка № 7516)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63

    Thumbs up Как вылечить и исправить ущерб? Trojan.Gigagen и Win32.HLLM.Beagle

    Экзешники антивирусов тают при создании и копировании на глазах. Поставить ни один антивирь не дает. Из реестра пропал SafeBoot, WindowsUpdate ругается на отключенные службы, которые включены.
    При сканированиии утилитой Dr.Web найдены
    Trojan.Gigagen и Win32.HLLM.Beagle
    Лечение не помогает, отлично реинкарнируются.

    Как восстановить "безопасный режим" с помощью AVZ прочитала, правда, пока не пробовала. А вот что с остальным делать, ума не приложу. В панике. Резервных копий реестра и точек восстановления системы нет.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    У вас на компьютере завелся троян с руткит-маскировкой. Для борьбы с ним необходимо:
    1. Выполнить скрипт AVZ (файл/выполнить скрипт - в открывшееся окно вставитьскрипт и нажать кнопку "Запустить":
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     // Карантин файлов
     QuarantineFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys','');
     QuarantineFile('c:\windows\system32\hldrrr.exe','');
     QuarantineFile('c:\windows\system32\wintems.exe','');
     // Добавление в сценарий команды удаления драйвера hidires\m_hook.sys
     BC_DeleteFile('\C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys'); 
     // Настройка протокола 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     // Активация драйвера 
     BC_Activate; 
     // Перезагрузка 
     RebootWindows(true); 
    end.
    В ходе выполнения скрипта ПК уйдет на перезагрузку.
    2. Пришлите согласно правилам файлы, которые попадут в карантин

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63
    Архив выложила (не уверена на счет пароля, переархивировать вручную страшно, а программа не попросила присвоить).

    Компу особо легче не стало, экзешники антивирусов продолжают пропадать. В каком месте реестра может быть это прописано и как это лечить? Третий день уже с ума схожу...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Из присланного
    c:\windows\system32\wintems.exe - Email-Worm.Win32.Bagle.hg (по Касперскому)
    C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys - Trojan.Gigagen (По DrWeb)
    c:\windows\system32\hldrrr.exe - Win32.HLLM.Beagle (по DrWeb)
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     BC_DeleteFile('c:\windows\system32\hldrrr.exe'); 
     BC_DeleteFile('c:\windows\system32\wintems.exe'); 
     BC_Activate; 
     RebootWindows(true); 
    end.
    Система будет перезагружена. После перезагрузки, выложите, пожалуйста, новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63
    После последнего скрипта запустила все с самого начала, начиная с утилиты Dr.Web
    Найден Trojan.Gigagen, после перезагрузки появляется вновь. Экзешники так и пропадают.

    В карантин попадает один файл. Его выслала.
    А логи вот.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Остался один файл. Попробуйте так: AVZ-файл-выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys');
    ExecuteSysClean;
     RebootWindows(true); 
    end.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    А если так попробовать :

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\Program Files\PTH Anti-Ban\change.exe','');
     QuarantineFile('C:\Documents and Settings\Andrej\Local Settings\Temp\upd.exE','');
     QuarantineFile('C:\PROGRA~1\2NDSPE~1\tts4ie.dll','');
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\WINDOWS\system32\hldrrr.exe','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\splitcam.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys','');
     QuarantineFile('\WINDOWS\system32\LOGOOS.EXE','');
     QuarantineFile('c:\docume~1\andrej\locals~1\temp\rarsfx0\_start.exe','');
     DeleteFile('C:\Documents and Settings\Andrej\Application Data\hidires\m_hook.sys');
     DeleteFile('C:\WINDOWS\system32\hldrrr.exe');
     DeleteFile('C:\Documents and Settings\Andrej\Local Settings\Temp\upd.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    то , что в карантине соберётся прислать .

  9. #8
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63
    После запуска скрипта от Numb карантин был пустой. После перезагрузки запустила скрипт от drongo, в карантин попало 7 файлов, архив выслала.
    После перезапуска Dr.Web находит все ту же заразу в c:\documents and settings\andrej\application data\hidires\m_hook.sys

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    У меня такой план , сначала восстановить возможность загружаться в safe mode с помощью авз . Я вижу вы уже читали . Так флаг вам в руки
    Затем в safe mode загрузиться и пролечиться с cure-it( поставить на удаление этой штуковины , когда найдёт. )

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63
    Яхоу!!! (Тайный смысл аватарки мне теперь ясен)
    Восстановила СейвБут, пролечила (нашелся тот самый сис и еще один экзешник в той же папке), удалила, перезагрузила - "вирусов не обнаружено", запускающие файлы Аваста и прочих антивирусов, (на которых теперь надежды никакой ) не пропадают. Мужчины, я вас люблю!

  12. #11
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    11
    Вес репутации
    63
    Ах, да. Забыла... С П А С И Б О!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Bitte schön
    Только, держать один антивирусный монитор в системе , иначе хуже будет .
    Если возможно, поддерживайте нас http://virusinfo.info/showthread.php?t=3519
    http://virusinfo.info/showthread.php?t=1739

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\andrej\\application data\\hidires\\m_hook.sys - Email-Worm.Win32.Bagle.gy (DrWEB: Trojan.Gigagen)
      2. c:\\windows\\system32\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.bk (DrWEB: Win32.HLLM.Beagle)
      3. c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.hg (DrWEB: Win32.HLLM.Beagle)


  • Уважаемый(ая) fraulein, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 37
      Последнее сообщение: 11.06.2010, 18:23
    2. Win32.HLLm.Beagle, Trojan.PWS.Kone 3
      От Юля-к в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:27
    3. Trojan.Gigagen + Win32.HLLM.Beagle
      От psylence в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 01:36
    4. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    5. win32.hllm.beagle как вылечить?
      От Sorvict в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.03.2008, 23:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00548 seconds with 20 queries