Вирус Beagle

Поймал на ноут вирус Beagle. Внимательно прочитал ваши правила и попытался их выполнить, ничего не получилось по следующим причинам:
1. В Безопасном режиме система не грузиться - после вопроса о загрузке sptd.sys вываливается синий экран с надписью об ошибке на системном диске, при указании его, sptd.sys, не грузить происходит тоже самое.
2. Ни одна из утилит указанных в правилах не запускается при обычной загрузке. Антивирусник KAV7 и Брэндмауэр умерли, DrWeb Cureit тоже не запускается.
Помогите пожалуйста!?!?!?

1. Скачайте [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]IceSword.[/URL] В разделе "Registry" по "My computer" жмем правой кнопкой "Find Text" вбиваем "srosa" все что найдет удаляйте правой кнопкой Delete.

2. Скачайте avast! antirootkit tool у меня в подписи.

3. Запустите его и просканируйте им машину.

4. Как закончит проверять, выберите "Fix now" и перегрузитесь.

5. После перезагрузки в диспетчере убейте процесс winupgro.exe.

6. Попробуйте сделать логи этой версией AVZ [url]http://rapidshare.com/files/240879548/Special_avz.zip[/url]

Утилита IceSword не запускается, начал сканировать Avast.
Самое интересное, что процесса winupgro.exe нет!

Как сможете запустить AVZ, делайте только лог [B]virusinfo_syscheck.[/B]

[QUOTE=Malyar;489375]Утилита IceSword не запускается[/QUOTE]
Какая операционка?

Операционка ХР. Avast тоже загнулся. AVZ которую взял по вашей рекомендации не запускается!

[QUOTE=Malyar;489387]Avast тоже загнулся.[/QUOTE]
Его невозможно запустить?

система ничего не говорит, просто не запускает и все!

Ему удалось завершить сканирование, он завис или что? После перезагрузки попробуйте еще раз провериться.

Скачайте вот этот авз и им сделайте логи [url]http://ifolder.ru/12469206[/url]

[QUOTE=Aleksandra;489396]Ему удалось завершить сканирование, он завис или что?[/QUO

система написала "произошла ошибка, программа будет закрыта"

[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]

а разве можно сделать логи без сканирования?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

а разве можно сделать логи без сканирования?

Вы мне в личку написали:
[QUOTE]Ваша AVZ запустилась и сейчас работает, но выдало ошибки из-за отсутствия установленного драйвера AVZPM:
п. 1.2 Поиск перехватчиков API, работающих в KernelMode
п. 1.4. Поиск маскировки процессов и драйверов

Процесс winupgro.exe программа нашла![/QUOTE]

логи по правилам сделать не получается? логи авз в смысле.

[QUOTE=Alex_Goodwin;489455]Вы мне в личку написали:


логи по правилам сделать не получается? логи авз в смысле.[/QUOTE]

Логи выложу завтра, бежать надо!

Файлики моих логов от AVZ. HT запустить так и не удалось, поэтому все 2 лога!

Съемный диск H:, который был при создании логов, подключите и оставьте подключенным.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
QuarantineFile('H:\storage\sys.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe','');
QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys','');
QuarantineFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe','');
DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\winupgro.exe');
DeleteFile('C:\Documents and Settings\Max\Application Data\drivers\wfsintwq.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\storage\sys.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=57694[/url]).
Сделайте новые логи.

содержимое карантина выгрузил.

обновленные логи. НТ так и не запускается

Выполните скрипт против бигля:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.[/CODE]
после перезагрузки лог от этого скрипта + стандартные.

Всем большое спасибо за помощь!
ОС пришлось снести, т.к. упали многие драйвера!
тему можно закрыть.

Упали после скриптов?

Я честно говоря не понял, после скриптов или нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\max\application data\drivers\wfsintwq.sys - [B]Trojan-Downloader.Win32.Bagle.avs[/B] ( DrWEB: Win32.HLLM.Beagle.299, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )[*] c:\documents and settings\max\application data\drivers\winupgro.exe - [B]Trojan-Downloader.Win32.Bagle.bgp[/B] ( NOD32: Win32/Bagle.TC worm )[*] c:\recycler\s-1-5-21-5013107016-0558870564-618093986-9004\sysdate.exe - [B]Packed.Win32.Krap.y[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )[*] h:\autorun.inf - [B]P2P-Worm.Win32.Palevo.jcn[/B] ( BitDefender: Trojan.Autorun.AJX, NOD32: INF/Autorun virus )[*] h:\storage\sys.exe - [B]Packed.Win32.Krap.y[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Packed.Palevo.Gen.1, AVAST4: Win32:DrWal [Drp] )[/LIST][/LIST]