Лечу win32.beagle, но есть сложности

Printable View

20.06.2010, 17:37
Telemonster

Лечу win32.beagle, но есть сложности

Уже во второй раз сталкиваюсь с биглом. Подхватил его, но компьютер при первых признаках не перезагружал, а прошелся cureit и nod32.
Они нашли заразу, но все не удалили. Затем я скачал OSAM - в прошлый раз он мне помого. Я определил где находится зараза и вычистил из под диска с линуксом данные папки и файлы:
%system32%/drivers/wfsintwq.sys
%system32%/drivers/srosa2.sys
c:/documents and settings/aplication data/drivers
c:/documents and settings/aplication data/hidres
c:/documents and settings/aplication data/m
c:/windows/wintems.exe
c:/program files/alcohol 120/axautomountsrv.exe
Затем перезагрузился. Сейчас вирус вроде бы себя не проявляет, но:
1) не открывается сайт микрософт и обновление системы
2) не удается восстановить языковую панель
3) не удается расшарить интернет по wifi - соединение между компьютером, который я лечу, и ноутбуком есть, но c ноута пингуются только локальные ip. Временно лечится запуском мастера настройки
домашней сети, но после перезагрузки снова пропадает.
Думаю, это не единственные сервисы, которые грохнул вирь.
Прошелся AVZ и нашел еще кое-что. Логи AVZ и Hijack в аттаче. Заранее спасибо.

Сейчас OSAM показывает, что вирус в авторан не прописан, но от него остался мусор в реестре, буду подчищать.
А нет, лучше трогать не буду пока. Кажется, wfsintwq.sys вернулся.
20.06.2010, 19:34
thyrex

[url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url] сделайте
20.06.2010, 20:09
Telemonster

Выполнил, прикрепил.
21.06.2010, 01:07
thyrex

Что сейчас с проблемой?
21.06.2010, 02:01
Telemonster

Ну все стало несколько лучше - вайфай теперь шарится. Но вот сайт микрософта и апдейты все также не работают. То же и с языковой панелью. Подмена и ручной перезапуск ctfmon не помогают. В то же время, переключение языков работает.

Сайт микрософта, кстати, работает с ноутбука, на который шарится инет. Апдейты на этом ноутбуке тоже работают.

И, кстати, с записью дисков проблемы начались - из образа писаться диски отказываются.
21.06.2010, 11:18
thyrex

[B]Обновите базы AVZ[/B] и переделайте логи
21.06.2010, 17:38
Telemonster

Обновил. Отослал.
Карантин тоже отправил.
21.06.2010, 23:25
thyrex

Сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
22.06.2010, 09:00
Telemonster

Готово.
22.06.2010, 10:22
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\WS4001 (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP31\A0004352.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP67\A0016707.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018985.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018989.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018990.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018993.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0020597.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0020624.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0021170.exe (Worm.Bagle) -> No action taken.
E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0038846.dll (Trojan.KillAV) -> No action taken.
E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0040511.exe (Malware.Packer.Krunchy) -> No action taken.[/CODE]

Доступа к сайту MS нет?
22.06.2010, 15:34
Telemonster

Да. Bad Request. HTTP Error 400.

А, блин. Ссылку в начале поста не увидел. Сейчас удалю.

Ок, удалил. Единственное - лог никуда не сохранился и даже после удалдения не открылся :O
Сейчас запущу полный скан еще раз на всякий случай. Логи прикреплю.

Майкрософт - все еще бэд реквест.
22.06.2010, 18:42
thyrex

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :[/CODE]
22.06.2010, 19:54
Telemonster

Повторное сканирование выдало только кейгены и крэки с прошлого раза, точки восстановления чисты. Реестр пофиксил. Перезагружаюсь...

Ок, обновления и микрософт заработали. Что с ctfmon делать?

А все, не надо. Решил проблемку с ним сам - бяка поставила галочку на дополнительные текстовые службы, а они блочат ctfmon.

[B]thyrex[/B], Огромное спасибо за то, что помогли.
22.06.2010, 22:05
thyrex

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
23.06.2010, 22:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]