Заразился Win32.Bagle, кажется поборол. Прошу проверить логи.

Printable View

04.02.2008, 18:06
Stell

Вложений: 2

Заразился Win32.Bagle, кажется поборол. Прошу проверить логи.

Здравствуйте. Вчера заразился Win32.Bagle. Симптомы: были повреждены и отключены антивирус и файрвол, была заблокирована загрузка в безопасном режиме, не запускались AVZ, Cureit, HiJackThis, тормозила ОС. В %winroot%\system32 лежали wintems.exe, srosa.sys, mdelk.exe. С помощью рекомендаций и информации из соседних тем с похожими вопросами кажется удалось вылечить машину. По крайней мере работоспособность антивируса/файрвола восстановилась, система была просканирована AVZ, Cureit и НОДом и они ничего существенного не обнаружили. Тем не менее есть некоторые сомнения, что проблема была решена полностью. В частности тревожит длинный список каких-то замаскированных процессов, которые находит AVZ. Создал в соответсвеии с Правилами логи - прошу по возможности просмотреть их.
04.02.2008, 18:16
Bratez

Лог syscure (п.8 правил) все-таки нужен.

Поищите через AVZ эти файлы:
msfir80.exe
msime80.exe
Если найдутся - пришлите по правилам.
04.02.2008, 21:01
Stell

Вложений: 1

Приложил лог syscure. Файлы msime80.exe и msfir80.exe AVZ не нашла.
04.02.2008, 21:46
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg2.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg1.sys','');
QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe -p %ld -e %ld','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
04.02.2008, 22:46
Stell

Выполнил, отправил. Помоему AVZ не смог добавить vsjitdebugger.exe в карантин.
04.02.2008, 22:58
V_Bond

карантина нет ....
04.02.2008, 23:23
Stell

Закачал еще раз. Возможно в первый раз возникла какая-то проблема в браузере. Не стал качать еще раз сразу ибо в правилах писали несколько раз подряд не закачивать.
04.02.2008, 23:53
V_Bond

C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg1.sys -[B]Trojan-Downloader.Win32.Bagle.iw[/B]
C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg2.exe [B]Trojan-Downloader.Win32.Bagle.if[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg1.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1060284298-1715567821-725345543-1003\Dg2.exe');
DeleteFile('C:\WINDOWS\system32\vsjitdebugger.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....
05.02.2008, 03:45
Bratez

[quote=V_Bond;182965]повторите логи ....[/quote]
... предварительно пофиксив в HijackThis:
[code]
O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
[/code]
07.02.2008, 15:58
Stell

Вложений: 3

Благодарю за поддержку! Все сделал, пересканировал.
07.02.2008, 18:43
V_Bond

tscupgrd.exe попробуйте поискать через авз ... и прислать по правилам ...
10.02.2008, 21:40
Stell

tscupgrd.exe нашел, отправил.
10.02.2008, 22:00
V_Bond

файл прошел по базе безопасных ...
какие-то проблемы остались ?
11.02.2008, 13:40
Stell

Похоже, сейчас машина работает стабильно. Огромное спасибо вам за поддержку!
22.02.2009, 03:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1060284298-1715567821-725345543-1003\\dg1.sys - [B]Trojan-Downloader.Win32.Bagle.iw[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\recycler\\s-1-5-21-1060284298-1715567821-725345543-1003\\dg2.exe - [B]Trojan-Downloader.Win32.Bagle.jf[/B] (DrWEB: Win32.HLLM.Beagle)[/LIST][/LIST]