Printable View
Не могу сделать по "правилам", т.к. он блокирует работу(100% заргузка процессора) позже перезагружает комп. При попытке заугрядиться в бедопасном режиме - перегружает комп. Загрузился с CD, скачал последний CureIt им и нашел этот вирус. CureIt почистил, но после загрузки то же самое. Видел где-то в теме, что можно с помощью IceSword его отключить при загрузке и дальше почистить. Скачиваю IceSword, а он не рабочий. Штук 5 разных выкачал, ни один архив не распаковался - CRC error.
Виндоус у Вас на C: в стандартной папке Windows установлен?
да
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: [url]http://swandog46.geekstogo.com/avenger2/download.php[/url]
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
[code]Comment:
Script to delete the Bagle worm
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld[/code]
Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt )
Скачал, пытаюсь распаковать архив получаю crc error (это все на другой машине).
Скачайте отсюда [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] и попробуйте (он уже распакован и переименован в football.pif ).
[QUOTE=kps;221647]Скачайте отсюда [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] и попробуйте (он уже распакован и переименован в football.pif ).[/QUOTE]
киньте, пожалуйста, на graham rambler ru. Ни с одного файлообменника нет доступа для скачивания :(
Отправил, пришло?
[QUOTE=kps;221651]Отправил, пришло?[/QUOTE]
пришло, получил.
запускаю для проверки на здоровом компе, получаю следующею ошибку
"Инструкция по адреса 0x7c913396" обратилась к памяти по адресу 0xb77d4cef. Память не может быть "read"."
Что-то я сомневаюсь, что этот комп здоровый :)
Если есть возможность - загрузитесь с установочного диска Windows и зайдите в Консоль Восстановления либо загрузитесь с LiveCD, Bart PE или др. загрузочного диска, найдите и удалите, если есть, следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
После этого скачайте заново AVZ, попробуйте запустить AVZ и сделать логи.
Почистил кэш, отключил восстановление винды и почистил папки system voluem information на каждом разделе. Это все делал после загрузки с LiveCD. После этого запустил CureIt, он удалил
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Перезагружаюсь, с винта. Снова тормозит. Загружаюсь с LiveCD, проверяюсь CureIt
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
снова на месте.
Попробуйте, загрузившишь с LiveCD, удалить эти файлы
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
сами (без CureIt!).
После CureIT перезагрузился с LiveCD, проверил на наличие этих файлов - их нет. Сейчас попробую загрузиться и запустить AVZ.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Загрузился с винта, запустил переименованный AVZ. Только залез в скрипты, выскочила ошибка и AVZ закрылся вместе с диалогом ошибки, больше не запускается. Попробовал запустить AVZ с компакта, не запускается.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Снова загрузился с LiveCD, нашел и удалил:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\drivers\mdelk.exe
Этих нет:
windows\system32\wintems.exe
windows\system32\mdelk.exe
Пробовали после этого скачать заново AVZ и запустить?
[QUOTE=kps;221686]Пробовали после этого скачать заново AVZ и запустить?[/QUOTE]
Скачать из интернета на зараженной машине c Beagle? Нет не пробовал, после загрузки начинается скачивание чего-то из интернета поэтому в интернете на другой машине.
Пробовал загрузиться с винта, скопировать с компакта AVZ. При компировании выскакивает ошибка записи. Перезагрузился с LiveCD, файлы перечисленные выше, снова на месте. Удалил. Скопировал AVZ с компакта, запустил под LiveCD - нормально. Переименовал avz.exe, загрузился с винта. Запустил переименованный AVZ, только залез в скрипты, получил ошибку о том, что не может найти scripts.avz. Попробовал запустить переименованный hijackthis, он свернулся после соглашения.
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. Зарязился я не через браузер, а после запуска exe, его архив я не удалял, лежит в укромном месте.
[QUOTE=graham;221762]
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. [/QUOTE]
начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
настоятельно рекомендую запустить авенжер и выполнить скрипт на машине с биглем .... у вашей "здоровой" похоже своих проблем хватает ...
скачал занво avenger на "здоровой" машине, записал на флэшку. запуск экзэшника из архива после загрузки с винчестера на "поврежденной" машине - "файл не найден", запуск football.pif, аналогично.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=V_Bond;221764]начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
ает ...[/QUOTE]
логи Вам обязательно предоставлю, как только получится запустить и выполнить скрипты AVZ и hijackthis.
Давайте попробуем так, скачайте [b]Combofix[/b] по одной из этих ссылок [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка1[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://subs.geekstogo.com/ComboFix.exe]ссылка3 [/url], сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.
[QUOTE=wise-wistful;221796]Давайте попробуем так, скачайте [b]Combofix[/b] по одной из этих ссылок [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка1[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://subs.geekstogo.com/ComboFix.exe]ссылка3 [/url], сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.[/QUOTE]
Скачал со второй ссылки. Загрузился с винта, скинул с флэшки combofix, запустил. Комп повис и никаких больше действий.
Вы не пытались окно с ним закрывать? Попробуйте ещё раз запустить, только запустили и как говориться не дышать на комп, не трогать ни мышу ни клавиатуру.