-
Junior Member
- Вес репутации
- 51
Лечу win32.beagle, но есть сложности
Уже во второй раз сталкиваюсь с биглом. Подхватил его, но компьютер при первых признаках не перезагружал, а прошелся cureit и nod32.
Они нашли заразу, но все не удалили. Затем я скачал OSAM - в прошлый раз он мне помого. Я определил где находится зараза и вычистил из под диска с линуксом данные папки и файлы:
%system32%/drivers/wfsintwq.sys
%system32%/drivers/srosa2.sys
c:/documents and settings/aplication data/drivers
c:/documents and settings/aplication data/hidres
c:/documents and settings/aplication data/m
c:/windows/wintems.exe
c:/program files/alcohol 120/axautomountsrv.exe
Затем перезагрузился. Сейчас вирус вроде бы себя не проявляет, но:
1) не открывается сайт микрософт и обновление системы
2) не удается восстановить языковую панель
3) не удается расшарить интернет по wifi - соединение между компьютером, который я лечу, и ноутбуком есть, но c ноута пингуются только локальные ip. Временно лечится запуском мастера настройки
домашней сети, но после перезагрузки снова пропадает.
Думаю, это не единственные сервисы, которые грохнул вирь.
Прошелся AVZ и нашел еще кое-что. Логи AVZ и Hijack в аттаче. Заранее спасибо.
Сейчас OSAM показывает, что вирус в авторан не прописан, но от него остался мусор в реестре, буду подчищать.
А нет, лучше трогать не буду пока. Кажется, wfsintwq.sys вернулся.
Последний раз редактировалось Telemonster; 20.06.2010 в 18:39.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ну все стало несколько лучше - вайфай теперь шарится. Но вот сайт микрософта и апдейты все также не работают. То же и с языковой панелью. Подмена и ручной перезапуск ctfmon не помогают. В то же время, переключение языков работает.
Сайт микрософта, кстати, работает с ноутбука, на который шарится инет. Апдейты на этом ноутбуке тоже работают.
И, кстати, с записью дисков проблемы начались - из образа писаться диски отказываются.
Последний раз редактировалось Telemonster; 21.06.2010 в 09:39.
Причина: забыл сказать))
-
Обновите базы AVZ и переделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Обновил. Отослал.
Карантин тоже отправил.
Последний раз редактировалось Telemonster; 21.06.2010 в 18:06.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\WS4001 (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP31\A0004352.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP67\A0016707.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018985.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018989.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018990.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018993.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0020597.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0020624.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0021170.exe (Worm.Bagle) -> No action taken.
E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0038846.dll (Trojan.KillAV) -> No action taken.
E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0040511.exe (Malware.Packer.Krunchy) -> No action taken.
Доступа к сайту MS нет?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Да. Bad Request. HTTP Error 400.
А, блин. Ссылку в начале поста не увидел. Сейчас удалю.
Ок, удалил. Единственное - лог никуда не сохранился и даже после удалдения не открылся
Сейчас запущу полный скан еще раз на всякий случай. Логи прикреплю.
Майкрософт - все еще бэд реквест.
Последний раз редактировалось Telemonster; 22.06.2010 в 16:52.
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Повторное сканирование выдало только кейгены и крэки с прошлого раза, точки восстановления чисты. Реестр пофиксил. Перезагружаюсь...
Ок, обновления и микрософт заработали. Что с ctfmon делать?
А все, не надо. Решил проблемку с ним сам - бяка поставила галочку на дополнительные текстовые службы, а они блочат ctfmon.
thyrex, Огромное спасибо за то, что помогли.
Последний раз редактировалось Telemonster; 22.06.2010 в 20:23.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-