Подцепил Win32/Bagle.QQ

Printable View

05.02.2009, 11:03
Night_Warrior

Подцепил Win32/Bagle.QQ

Подцепил червяка Win32/Bagle.QQ все антивирусы (NOD32 стоял) не грузятся пишет что приложение не вин32. Со всеми предложенными программами в правилах происходит тоже самое. Безопасный режим не грузится. Эксплорер и остальные приложения грузятся но сильно тупят. Доступ до инета отключил благо за гейтом стоит комп.
Есть ли шанс вылечить или фрмат с: ?

П.С. файлов приложить не могу т.к. не грузится ни 1 предложеная программа.
05.02.2009, 11:15
AndreyKa

Попробуйте это:
[url]http://www.freedrweb.com/livecd[/url]
При загрузке с этого CD надо сделать Интернет доступным, чтобы обновить базы.
05.02.2009, 17:39
Night_Warrior

Вложений: 1

Прогнал двэб он ничего не нашел перед этим удаленно проверял диск с: Nod32 он нашел (см.лог) но не очистил т.к. проверка была удаленной. Проблема сохраняется...
05.02.2009, 17:42
Гриша

Попробуйте этот AVZ [url]http://depositfiles.com/files/sutnyhabc[/url]
05.02.2009, 18:42
Night_Warrior

Вложений: 1

Запустилось... проверил... Проблема остается.
05.02.2009, 18:54
PavelA

Нормальные логи пришлите, если получились.
05.02.2009, 20:18
Night_Warrior

Вложений: 2

Извиняюсь! Вот пожалуйста.
05.02.2009, 22:06
rubin

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\Documents and Settings\Administrator.CONSULT\Application Data\drivers\wfsintwq.sys','');
DeleteFile('C:\Documents and Settings\Administrator.CONSULT\Application Data\drivers\wfsintwq.sys');
BC_ImportAll;
BC_DeleteSvc('wfsintwq');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=39003[/url]
06.02.2009, 09:22
Night_Warrior

Доброе утро! Выполнил скрипт... комп ушел в ребут после загрузки АВЗ больше не запустился вернее запускается и сразу вылетает... Архив создал в ручную и выслал... не знаю только дошел ли...

З.Ы. Кстати могу прислать файлик после запуска которого вся бодяга началась если надо. (Файл с расширением *.exe) в нем нод нащел Win32/Bagle.QQ

ЗЗ.ЫЫ. Еще обнаружилась такая вещь: В папке Eset\Nod32\ есть файлик egui.exe он постоянно обновляется т.е. происходит примерно тоже само что при нажатии ф5 только обновляется только этот файл. иконка на доли секунды становится как у файла *.com потом опять родня становится... На других компах такого нет. Стоит НОД32 Корпоративный и обновляется везде синхронно т.ч. версии одинаковые.
06.02.2009, 11:48
rubin

файл дошёл. в safe mode тоже не загружается?
06.02.2009, 11:53
AndreyKa

C:\Documents and Settings\Administrator.CONSULT\Application Data\drivers\wfsintwq.sys = [B]Trojan-Downloader.Win32.Bagle.amj[/B]
А DrWeb его еще не детектирует :(
Исходный файл загрузите туда же в zip архиве с паролем virus
06.02.2009, 12:21
Night_Warrior

Нет... сразу в ребут уходит... а АВЗ на сколько я понял сам себя заблокировал т.к. при попытке выполнить разархивированный файл просто вылетает, а если открывать из архива пишет что "Потенциально опасное ПО заблокировано" а НОД32 не загружен и не грузится...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

AndreyKa Уточни плиз какой исходный файл? после которого все началось? или какой?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Отправил файлы после которых все началось если не то пришлю что нужно...

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

AndreyKa Есть еще идея перекинуть хард на другую машину и прогнать его НОД`ом он же нашел (выше есть лог) тока не убил т.к. удаленная проверка была... только я не знаю как размножается эта дрянь... не заражу ли я вторую систему?
06.02.2009, 13:40
AndreyKa

run.exe = Trojan-Downloader.Win32.Bagle.anb (KIS), Trojan.Packed.650 (DrWEB)

К другому компьютеру диск можно подключить, если с него ничего не запускать, то зараза не должна перекинуться.
06.02.2009, 16:27
Night_Warrior

Вложений: 1

Ура счастье есть оно не может не есть!) 20мин работаю полет нормальный! Короче перекину хард на другую машину провел нодом полную проверку он всех зверьков замочил!
Всем по спасибу)
07.02.2009, 16:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\administrator.consult\application data\drivers\wfsintwq.sys - [B]Trojan-Downloader.Win32.Bagle.amj[/B][*] \quarantine\2009-02-06\bcqr00007.dta - [B]Trojan-Downloader.Win32.Bagle.amj[/B][*] \quarantine\2009-02-06\bcqr00008.dta - [B]Trojan-Downloader.Win32.Bagle.amj[/B][*] \run.exe - [B]Trojan-Downloader.Win32.Bagle.anb[/B] (DrWEB: Trojan.Packed.650)[/LIST][/LIST]