Trojan.Win32.Bagle

Printable View

12.03.2010, 19:36
alex-2

Trojan.Win32.Bagle

Обнаружил в системе вот это :Trojan.Win32.Bagle.>:( Помогите удалить и устранить последствия. Спасибо.:beer:
12.03.2010, 21:31
thyrex

Логи почему из безопасного режима? Переделать в нормальном

Дополнительно сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
13.03.2010, 10:11
alex-2

[QUOTE=thyrex;602495]Логи почему из безопасного режима? Переделать в нормальном

Дополнительно сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url][/QUOTE]

Сделал .1.Только не знаю куда Combofix сохранила лог.
Первоначально логи в безопасном режиме пот,что не запускался в норм.режиме. Меня лишили прав админа.
13.03.2010, 13:14
thyrex

Нужны права администратора. В противном случае все может оказаться пустой тратой времени

ComboFix сохраняет свой лог в файл C:\ComboFix.txt
Но если нет прав администратора, то лог мог не сохраниться вообще
13.03.2010, 13:47
alex-2

Установил консоль.В системе по прежнему глюки,иногда не могу экзэшник запустить.Каспер ремовал тулз удалён,а вот остатки к сожалению висят в системе. Лог выполнил .
13.03.2010, 14:16
thyrex

Удалим следы AVP Tool

Выполните скрипт в AVZ
[code]begin
DeleteFile('c:\windows\system32\drivers\97903862.sys');
DeleteFile('c:\windows\system32\drivers\9790386.sys');
DeleteFile('c:\windows\system32\drivers\97903861.sys');
DeleteFile('c:\windows\system32\drivers\52816142.sys');
DeleteFile('c:\windows\system32\drivers\5281614.sys');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Кое-что было удалено и CоmboFix

В логах видны следы нескольких антивирусных продуктов. Оставьте только один
13.03.2010, 16:34
alex-2

[QUOTE=thyrex;602861]Удалим следы AVP Tool
Кое-что было удалено и CоmboFix

В логах видны следы нескольких антивирусных продуктов. Оставьте только один[/QUOTE]

Подскажите,a-securiti anti malvare является антивирусной программой или антимальварэ т.е. в дополнение к антивирусу ? И ещё,в системе остались службы удалённых программ (a-squared free service,Lavasoft ad-aware serwice) как их удалить ?
Комп ведёт себя прилично.Большое Вам спасибо !!
13.03.2010, 18:28
thyrex

[QUOTE='alex-2;602933']a-securiti anti malvare является антивирусной программой или антимальварэ т.е. в дополнение к антивирусу ?[/QUOTE]Не сталкивался, потому не отвечу. Может коолеги подскажут

По поводу остального - ближе к вечеру :)
13.03.2010, 21:52
alex-2

И подскажите какие антивирусные продукты стоят в моей системе. Я считал ,что у меня только НОД 32.:clapping:Жду Ваш вечерний выход!!
СПАСИБО ! Блестящая работа !:>

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 57 минут[/I][/B][/color][/size]

отказано ..возможно у Вас нет прав...на запуск программ..AVZ запускается,а программы попроще - нет (я-онлайн,транслэйт клиент...).
Что делать ?
14.03.2010, 00:00
thyrex

Итого у Вас
a-squared Anti-Malware
IObit Security 360
a-squared Free
+ драйвер от Панды
+ драйвер антируткита от Avasta

а также NOD + Comodo

Что удаляем из первых в списке?
14.03.2010, 00:15
alex-2

Удаляем остатки несуществующих программ:IObit Security 360,+ драйвер от Панды(хотя это всего-лишь вакцина),+ драйвер антируткита от Avasta((а этого "парня" (молодец !!)я регулярно использую,он без установки работает,но драйвера оказывается все-же оставляет!)),ну и a-squared Anti-Malware serwice.(только не a-squared Free !!! Free-сканирует по требованию,без постоянного мониторинга,пусть останется),Lavasoft ad-aware serwice.
И на сегодня хватит разрушений.:) Ещё раз спасибо!:beer:
14.03.2010, 00:36
thyrex

Ну что ж, пробуем через AVZ (но права у Вас ограничены)

Выполните скрипт в AVZ
[code]begin
DeleteService('pavboot');
DeleteService('a2util');
DeleteService('a2injectiondriver');
SetServiceStart('aswArKrn', 4);
DeleteService('aswArKrn');
DeleteService('Lavasoft Ad-Aware Service');
DeleteService('ISservice');
DeleteService('a2AntiMalware');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArHlp.dll');
DeleteFile('C:\Program Files\a-squared Anti-Malware\a2service.exe');
DeleteFile('C:\Program Files\IObit\IObit Security 360\ISsrv.exe');
DeleteFile('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware\App\AdAware\AAWService.exe');
DeleteFile('C:\Program Files\a-squared Anti-Malware\a2dix86.sys');
DeleteFile('C:\Program Files\a-squared Anti-Malware\a2util32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\pavboot.sys');
DeleteFile('C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','a-squared');
DeleteFileMask('C:\Program Files\a-squared Anti-Malware', '*.*', true);
DeleteDirectory('C:\Program Files\a-squared Anti-Malware');
DeleteFileMask('C:\Program Files\IObit', '*.*', true);
DeleteDirectory('C:\Program Files\IObit');
DeleteFileMask('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware', '*.*', true);
DeleteDirectory('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте лог ComboFix
14.03.2010, 00:38
alex-2

Любопытно кто мне их ограничил и почему после перезагрузки они возвращаются,правда ненадолго...? Завтра отчитаюсь. Спокойной ночи !
14.03.2010, 15:27
alex-2

Всё удалил. Выкладываю лог комбификс. Жду указаний.
14.03.2010, 15:42
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\docume~1\9335~1\LOCALS~1\Temp\aswArKrn.sys
c:\windows\system32\DRIVERS\5281614.sys
c:\windows\system32\drivers\52816141.sys

Driver::
52816141
setup_9.0.0.722_08.12.2009_23-41drv
aswArKrn

Folder::
c:\documents and settings\All Users\Application Data\McAfee
c:\documents and settings\All Users\Application Data\Kaspersky Lab

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
14.03.2010, 17:02
alex-2

Всё сделал. Но лог комбофикс не нашёл в директории С ! Исчезла языковая панель ! Нашёл только эти два текстовых сообщения .
14.03.2010, 21:49
thyrex

Попробуйте сделать лог еще раз. Скрипт выполнять еще раз не нужно
15.03.2010, 07:12
alex-2

Лог выполнен.Вчера даже пасьянс паук сказал,что я не админ!:P
15.03.2010, 17:18
thyrex

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Выполните скрипт в AVZ
[CODE]begin
DeleteService('aswArKrn');
DeleteFile('c:\windows\system32\DRIVERS\5281614.sys');
DeleteFile('c:\windows\system32\drivers\52816141.sys');
DeleteFile('c:\docume~1\9335~1\LOCALS~1\Temp\aswArKrn.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

На этом можно закончить
15.03.2010, 17:24
alex-2

Я Вам благодарен за прекрасно проведенную операцию !:beer: