Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

Модификацию Bagle (вероятно) (заявка № 79637)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24

    Thumbs up Модификацию Bagle (вероятно)

    Windows XP SP2. Касперский 8. В результате запуска вредоносного кода, компьютер по всей вероятности был заражен одной из модификаций вируса Bagle.

    Запустившись, вирус отключил Касперского.
    Перезагрузка в безопасном режиме заблокирована - BSOD.
    Не удалось запустить: AVZ, HiJackThis, AVPTool, КАV - поэтому логи приложить не могу. Сообщение, что эти проги не является приложением win32. Невозможно их не переустановить не удалить. Переименование не помогло.
    Cureit запускается - проверяет но ничего не находит. Прочесал комп вручную - нашел левые папки и файлы:

    user\Application Data\drivers\
    user\Application Data\m\
    %System32%\sposa2.dll
    и на диске D afqk CANJ9H59, Удалил это все, не помогло.

    Кстати в Program Files появилась левая папка 'a' с кучей левых файлов
    объемом 3 Гб и тем самым забило весь диск С - удалил, снова пока не появляется.

    Что делать?

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    скачал, запустил - выдало что не является приложением win32, переименование не помогло

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Скачайте "OSAM" (Online Solutions Autorun Manager).

    Лог работы утилиты заархивируйте и прикрепите к своему сообщению
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Лог работы утилиты заархивируйте и прикрепите к своему сообщению[/QUOTE]

    Скачал, запустил, лог прилагаю
    Вложения Вложения
    • Тип файла: rar osam.rar (8.2 Кб, 11 просмотров)

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Запустите OSAM
    В меню драйверов правой кнопкой по srosa и выберите "Turn Run Off", потом подтвердите перезагрузку.
    Повторите процедуру для sK9Ou0s

    Пробуйте выполнить правила и лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    В меню драйверов правой кнопкой
    Не нашел меню драйверов, запустил прогу - прошла проверка - слева список - жму правой кнопкой - там Copy Text. А вот - все разобрался...сейчас все сделаю!!!!
    Последний раз редактировалось L@MER; 30.05.2010 в 21:59.

  9. #8
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Сделал как вы сказали - ComboFix не запускается все равно (переименование не помогает). Сообщение - не является приложением Win32. Лог после отключения - приложен.
    Вложения Вложения
    • Тип файла: rar osam.rar (8.2 Кб, 3 просмотров)

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    А AVZ тоже не запускается?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    А AVZ тоже не запускается?
    Извиняюсь . Сейчас проверил АVZ заработал и обновил бызы - сейчас выполню все правила и пришлю логи.

  12. #11
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Прогнал комп AVZ и HiJackThis. Логи прилагаю.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Извините что получилось несколько одинаковых личных сообщений - браузер подвис маленько

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Нестеров\Application Data\drivers\winupgro.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit');
     DeleteFile('C:\Documents and Settings\Нестеров\Application Data\m\flec006.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mule_st_key');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + попробуйте сделать лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Выполнил скрипт. Папка с карантином пуста, поэтому не высылаю её. Дело в том, что папки drivers и m (которые согласно скрипту должны оказаться в карантине) уже давно мною принудительно удалены, еще до начала лечения на virusinfo. Высылаю логи. Combofix так и не запускается.
    Вложения Вложения

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделал лог, прилагаю.
    Вложения Вложения

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
     DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Зараженные ключи в реестре:
    Код:
    HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
    Попробуйте сделать лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Карантин отослал. Ключи удалил. Combofix не запускается.

  20. #19
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Лог OSAM еще раз сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #20
    Junior Member Репутация
    Регистрация
    29.05.2010
    Сообщений
    26
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    Лог OSAM еще раз сделайте
    Лог прилагаю
    Вложения Вложения
    • Тип файла: rar osam.rar (8.1 Кб, 4 просмотров)

  • Уважаемый(ая) L@MER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Подозрение на модификацию sdra64
      От kamuri в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.12.2010, 16:47
    2. поймал модификацию Aekgoprn.dll
      От zawall в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.12.2009, 18:32
    3. Ответов: 21
      Последнее сообщение: 23.11.2009, 00:52
    4. Все тот же Bagle
      От subhuman в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:37
    5. BAGLE.32 ?? NEED HELP !!!!
      От ciausazumab в разделе Malware Removal Service
      Ответов: 12
      Последнее сообщение: 25.01.2008, 00:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01411 seconds with 20 queries