Win32.HLLP.Beagle

Всех приветствую!

Второй день не могу избавиться от этой заразы.
Правила уже наверное знаю наизусть :), только толку нет. Потому, что запустить сканирование AVZ или выполнение скрипта не выходит (при обычной загрузки WinXP) - "Cannot open file E:\avz4\BASE\syscheck.avz Не удается найти указанный файл" и "...\scripts.avz ..." соответственно. При попытке обновить базу - "File not found" на операции "Обрабатывается файл neurald.avz".
E - это CD/DVD привод, файлы на нем естественно существуют, диск подготовлен на др.машине.
При загрузке в Safe Mode сканирование с CD запускается нормально, но ни одного вируса не находит.
При всем при этом CureIt! в обычном режиме вирус обнаруживает и лечит. Но он появляется снова. Обычно, как я понял, и у других, это файл wintems.exe или mdelk.exe в system32.
Восстановление системы отключено.

Подскажите, куда рыть дальше.
Спасибо.

Скачайте [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. ВЫбирете самую последнюю по дате и времени. Запустите полное сканирование всех дисков.

> wise-wistful

Скачал. Во время инсталляции выкинуто сообщение:
"Ошибка при инициализации приложения (0xc000000f). Для выхода из приложекния нажмите кнопку "OK"""
и затем:
"Приложению не удалось запуститься, поскольку prremote.dll не был найден. Повторная установка приложения может исправить эту проблему."

Увы... Не смогла... :(

Про AVZ не совсем понял она не запускается ни в обычном режиме ни в Safe Mode?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Хиджак то же лог не создаёт. АВЗ запускали только со съёмного носителя, что ли? АВЗ переименовывали?

В SM AVZ работает нормально, только вирусов никаких не находит :)
А в обычном режиме - ни сканирование, ни выполнение скрипта, ни обновление базы не идет.

Давайте лог от АВЗ в SM, посмотрим, что там. Почему Вы решили что она ничего не находит. Только попробуйте запустить в SM с жёсткого диска, а то если со съёмного лог не сохраняется.

АВЗ запускал со съёмного носителя после бузуспешой попытки запустить с HDD - вам, наверное, известное "avz.exe не является приложением Win32"
АВЗ не переименовывал.

Переименуйте АВЗ в какой-то из вариантов test.exe, 123.pif, 555.com. Если с каким-то вариантом не запускается - попробуйте по очереди все варианты, что бы быть уже полностью уверенным.

> wise-wistful

Это займет некоторое время, поэтому я завтра продолжу. Обязательно отпишу.

>Почему Вы решили что она ничего не находит.

Потому, что в окне лога ничего про вирусы нет.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Переименование АВЗ, конечно, позволяет запустить, но дальше всё, как описано в теме ветки.

Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, либо в консоль восстановления, разыскать и удалить следующие файлы:
[b]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe[/b]
После этого AVZ должна заработать.

> Bratez

Данный прием я еще раньше вычитал на этом форуме и испробовал.
Результат отрицательный.

[QUOTE=Johnmen;195218]В SM AVZ работает нормально, только вирусов никаких не находит :)
[/QUOTE]
А вы логи дайте - мы посмотрим.

> Alex_Goodwin

Правильно ли я вас понял, что интересен лог, полученный при запуске в SafeMode, и при отсутствии обнаружения вирусов?

да, вы поняли правильно.

Вот, что удалось получить.
В безопасном режиме - только логи AVZ, в обычном - только лог хайжека.

Прошу прощения, в пред.посте не в "безопасном режиме", а при загрузке с LiveCD.
В безопасном режиме выложу чуть позже...

Это логи самого загрузочного диска - они бесполезны

Логи из под BartPE. я имел ввиду логи авз из безопасного режима.

Базы AVZ необходимо обновить.

попробуйте сделать логи вот [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]этим[/URL]

Вот получил логи из-под SafeMode:

[QUOTE=Alex_Goodwin;195819]попробуйте сделать логи вот [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]этим[/URL][/QUOTE]
Если имеется в виду в обычном режиме, то придется бороться с проблемой "не является Win32 приложением", червяк покоцал налету :)

Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','german.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
BC_DeleteSvc('srosa');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Обычный режим не вернется?

[QUOTE]C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe[/QUOTE]
Это можно и из под BartPE прибить..

> rubin

Обычный режим и раньше был.
Скрипт выполнил. Загрузился в обычном режиме. Но признаки действия вируса продолжают наблюдаться:
- попытка запустить с HDD свежераспакованный avz.exe - "не является приложением Win32"
- попытка обновить базу при запуске tt.exe (переименнованного avz.exe, ещё не покоцанного) - "File not found" на neurald.avz
- CureIt! также выдает "c:\windows\system32\wintems.exe инфицирован Win32.HLLM.Beagle" и постоянно генерящиеся файлы "c:\windows\system32\drivers\down\340031.exe инфицирован Win32.HLLM.Beagle"

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Alex_Goodwin;195846]Это можно и из под BartPE прибить..[/QUOTE]

Я это делал ещё до обращения в форум.
Результат отрицательный.

[QUOTE=Johnmen;195837]Если имеется в виду в обычном режиме, то придется бороться с проблемой "не является Win32 приложением", червяк покоцал налету :)[/QUOTE]

А если в безопасном?


[URL="http://gmer.net/gmer.zip"]Gmer[/URL] попробуйте.



[URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] пробовали?

> Alex_Goodwin
> А если в безопасном?

В безопасном запускаю. Но что дальше делать? Для чего это программа?

> Gmer попробуйте.

Попробовал запустить - "CreateFile "C:\WINDOWS\gmer.dll": Не удается найти указанный файл"

> CureIt пробовали?

Пробовал. О чем писАл выше.

[url]http://virusinfo.info/showthread.php?t=17228[/url]
Удалите файлы, упомянутые в скрипте.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

c:\windows\explorer.exe
отправьте нам по правилам.

[QUOTE=Alex_Goodwin;195875][url]http://virusinfo.info/showthread.php?t=17228[/url]
Удалите файлы, упомянутые в скрипте.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

c:\windows\explorer.exe
отправьте нам по правилам.[/QUOTE]

Загрузился в SM.
Запустил IceSword.exe
Удалил файлы:
C:\WINDOWS\SYSTEM32\mdekl.exe
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\DRIVERS\srosa.sys
C:\WINDOWS\SYSTEM32\DRIVERS\hlprrr.exe
Перегрузился в обычном режиме.
Признаки наличия и активности вируса остались. Их уже приводил в ответ на пост [B]rubin[/B].

Прикрепил заархивированный explorer.exe

[color=red]Подозреваемый файл в теме - моветон.[/color]

explorer сюда - [url]http://virusinfo.info/upload_virus.php?tid=18920[/url]

[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21780028[/url]
Реестр в безопасном через icesword почистите, найдите папку, где бигль хранит файлы и удалите.

[QUOTE=rubin;195892]explorer сюда - [url]http://virusinfo.info/upload_virus.php?tid=18920[/url][/QUOTE]

Закачал.

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

[QUOTE=Alex_Goodwin;195902][url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21780028[/url]
Реестр в безопасном через icesword почистите, найдите папку, где бигль хранит файлы и удалите.[/QUOTE]

Сделал по рекомедациям в ссылке. Похоже, получилось!
И, как указано в ссылке, насчет создаваемой службы Megadrv3 - была у меня такая! И сильно я её подозревал...
Сейчас буду проводить комплекс тестирования.
По кр.мере AVZ запускается с HDD, базу обновил успешо.

Большущее спасибо!

Ещё пара моментов...
1.
[B]> rubin[/B]
Пожалуйста, хотелось бы услышать об експлорере, если вдруг с ним проблемы.
2.
AVZ в процессе сканирования сообщает:
[U]C:\Program Files\MarkAny\ContentSafer\MaAgent.exe >>> подозрение на Trojan-Dropper.Win32.Small.mh ( 005DF367 00000000 001E0758 0021AE59 57344)
[/U]
каюсь, я напроч забыл, что это такое, MaAgent.exe
Подскажите, что это и зачем это.

Логи-то для контроля сделайте - посмотрим.

Сделал логи. Выкладываю.

1. Ждем ответа по explorer
2. Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('srosa');
SetServiceStart('srosa', 4);
DeleteService('srosa');
QuarantineFile('C:\WINDOWS\System32\Drivers\av9o1cpd.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин по правилам.

Выслал карантин после выполнения скрипта.

explorer.exe_
Вредоносный код в файле не обнаружен.

Повторите логи с п.10 Правил..
PS: av9o1cpd.SYS в карантин не попал, это daemon tools\alcohol

[QUOTE=rubin;195999]explorer.exe_
Вредоносный код в файле не обнаружен.
[/QUOTE]
Это хорошо!
Спасибо!
[QUOTE=rubin;195999]
Повторите логи с п.10 Правил..
PS: av9o1cpd.SYS в карантин не попал, это daemon tools\alcohol
[/QUOTE]
Вот повторенные логи:

пофиксите ...
[code]
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите последние два лога ...