Printable View
Не могу сделать по "правилам", т.к. он блокирует работу(100% заргузка процессора) позже перезагружает комп. При попытке заугрядиться в бедопасном режиме - перегружает комп. Загрузился с CD, скачал последний CureIt им и нашел этот вирус. CureIt почистил, но после загрузки то же самое. Видел где-то в теме, что можно с помощью IceSword его отключить при загрузке и дальше почистить. Скачиваю IceSword, а он не рабочий. Штук 5 разных выкачал, ни один архив не распаковался - CRC error.
Виндоус у Вас на C: в стандартной папке Windows установлен?
да
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: [url]http://swandog46.geekstogo.com/avenger2/download.php[/url]
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
[code]Comment:
Script to delete the Bagle worm
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld[/code]
Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt )
Скачал, пытаюсь распаковать архив получаю crc error (это все на другой машине).
Скачайте отсюда [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] и попробуйте (он уже распакован и переименован в football.pif ).
[QUOTE=kps;221647]Скачайте отсюда [url]http://www.megaupload.com/ru/?d=OUCJ5J9F[/url] и попробуйте (он уже распакован и переименован в football.pif ).[/QUOTE]
киньте, пожалуйста, на graham rambler ru. Ни с одного файлообменника нет доступа для скачивания :(
Отправил, пришло?
[QUOTE=kps;221651]Отправил, пришло?[/QUOTE]
пришло, получил.
запускаю для проверки на здоровом компе, получаю следующею ошибку
"Инструкция по адреса 0x7c913396" обратилась к памяти по адресу 0xb77d4cef. Память не может быть "read"."
Что-то я сомневаюсь, что этот комп здоровый :)
Если есть возможность - загрузитесь с установочного диска Windows и зайдите в Консоль Восстановления либо загрузитесь с LiveCD, Bart PE или др. загрузочного диска, найдите и удалите, если есть, следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
После этого скачайте заново AVZ, попробуйте запустить AVZ и сделать логи.
Почистил кэш, отключил восстановление винды и почистил папки system voluem information на каждом разделе. Это все делал после загрузки с LiveCD. После этого запустил CureIt, он удалил
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Перезагружаюсь, с винта. Снова тормозит. Загружаюсь с LiveCD, проверяюсь CureIt
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
снова на месте.
Попробуйте, загрузившишь с LiveCD, удалить эти файлы
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
сами (без CureIt!).
После CureIT перезагрузился с LiveCD, проверил на наличие этих файлов - их нет. Сейчас попробую загрузиться и запустить AVZ.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Загрузился с винта, запустил переименованный AVZ. Только залез в скрипты, выскочила ошибка и AVZ закрылся вместе с диалогом ошибки, больше не запускается. Попробовал запустить AVZ с компакта, не запускается.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Снова загрузился с LiveCD, нашел и удалил:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\drivers\mdelk.exe
Этих нет:
windows\system32\wintems.exe
windows\system32\mdelk.exe
Пробовали после этого скачать заново AVZ и запустить?
[QUOTE=kps;221686]Пробовали после этого скачать заново AVZ и запустить?[/QUOTE]
Скачать из интернета на зараженной машине c Beagle? Нет не пробовал, после загрузки начинается скачивание чего-то из интернета поэтому в интернете на другой машине.
Пробовал загрузиться с винта, скопировать с компакта AVZ. При компировании выскакивает ошибка записи. Перезагрузился с LiveCD, файлы перечисленные выше, снова на месте. Удалил. Скопировал AVZ с компакта, запустил под LiveCD - нормально. Переименовал avz.exe, загрузился с винта. Запустил переименованный AVZ, только залез в скрипты, получил ошибку о том, что не может найти scripts.avz. Попробовал запустить переименованный hijackthis, он свернулся после соглашения.
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. Зарязился я не через браузер, а после запуска exe, его архив я не удалял, лежит в укромном месте.
[QUOTE=graham;221762]
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. [/QUOTE]
начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
настоятельно рекомендую запустить авенжер и выполнить скрипт на машине с биглем .... у вашей "здоровой" похоже своих проблем хватает ...
скачал занво avenger на "здоровой" машине, записал на флэшку. запуск экзэшника из архива после загрузки с винчестера на "поврежденной" машине - "файл не найден", запуск football.pif, аналогично.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=V_Bond;221764]начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
ает ...[/QUOTE]
логи Вам обязательно предоставлю, как только получится запустить и выполнить скрипты AVZ и hijackthis.
Давайте попробуем так, скачайте [b]Combofix[/b] по одной из этих ссылок [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка1[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://subs.geekstogo.com/ComboFix.exe]ссылка3 [/url], сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.
[QUOTE=wise-wistful;221796]Давайте попробуем так, скачайте [b]Combofix[/b] по одной из этих ссылок [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ссылка1[/url], [url=http://www.forospyware.com/sUBs/ComboFix.exe]ссылка2[/url], [url=http://subs.geekstogo.com/ComboFix.exe]ссылка3 [/url], сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.[/QUOTE]
Скачал со второй ссылки. Загрузился с винта, скинул с флэшки combofix, запустил. Комп повис и никаких больше действий.
Вы не пытались окно с ним закрывать? Попробуйте ещё раз запустить, только запустили и как говориться не дышать на комп, не трогать ни мышу ни клавиатуру.
[QUOTE=wise-wistful;221811]Вы не пытались окно с ним закрывать? Попробуйте ещё раз запустить, только запустили и как говориться не дышать на комп, не трогать ни мышу ни клавиатуру.[/QUOTE]
даже не мог пытаться закрыть его окно, т.к. даже его не было :( сейчас еще раз попробую и не буду "дышать" :)
Вот думаю, может эта "здоровая" машина все портит. Раз уж на ней не запускается ни avenger ни combofix.
Скачиваю на "здоровой" машине, на ней нарезаю на компакт и несу на ту, которая повреждена биглом.
Можем мы сначала сделать диагностику и чистку "здоровой", а потом уже вернуться к биглу?
Давайте логи со второй машины, только новую тему заведите и там будем проводить лечение.
[QUOTE=wise-wistful;221816]Давайте логи со второй машины, только новую тему заведите и там будем проводить лечение.[/QUOTE]
сейчас попробую сделать по правилам для "здоровой" машины
Тему назову "Лечение если не запускаются Combofix, avenger"
сейчас попробую
не запускается ни на одной машине вообще переименованный 123.com
Ладно делам так :)
Качаем [url=http://ifolder.ru/6366326]этот [/url] файлик реестра, он должен востановить безопасный режим.
Сразу на перезагрузку и заходите в безопасный режим (если пропустили, то лучше повторить операцию с файлом)
Avenger еще сохранился переименнованный? но лучше скачать еще раз.
[URL=http://swandog46.geekstogo.com/avenger2/download.php]http://swandog46.geekstogo.com/avenger2/download.php[/URL]
Переименуйте программу в football.pif
(не забываем это все делаем в безопасном режиме)
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
Код:
[CODE]Comment:
Script to delete the Bagle worm
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
c:\windows\system32\hidr.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld[/CODE]
Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt ).Затем скачайте AVZ заного и сделайте логи.
[QUOTE=akoK;221840]Ладно делам так :)
Качаем [url=http://ifolder.ru/6366326]этот [/url] файлик реестра, он должен востановить безопасный режим.
Сразу на перезагрузку и заходите в безопасный режим (если пропустили, то лучше повторить операцию с файлом)[/QUOTE]
Скачал, перенес на больной комп, загрузился в обычном режиме, запустил файл реестра, получил сообщение о том, что все внесено. Перезагружаюсь в безопасный режим с поддержкой сетевых драйверов(пробовал и без) после "Press ESC to loading a347bus.sys", вне зависимости от того жму ESC или нет, перезагужается.
[b]a347bus.sys[/b] - хм а файлик такой есть и какая система установленна на больной машине?
[QUOTE=akoK;221851][b]a347bus.sys[/b] - хм а файлик такой есть и какая система установленна на больной машине?[/QUOTE]
на машине с биглом есть, система XPSP2
на второй машине такого файла нет
месторасположение файла
windows\system32\drivers\a347bus.sys
[b]combofix[/b], еще как версия попробуйте переименовать combofix и закрыть и отключить максимум, что работает в системе...
combofiх, необходимо сохранять на рабочем столе.
Может показаться. что все зависло...подождите минут 10
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
a347bus.sys - это драйвер от алкоголя мешает :(
Алкоголь установлен или был установлен?
еще раз почистил все из LiveCD, включая a347bus.sys
загрузиться в безопасном режиме это не помогло, но успел при загрузке запустить hijackthis, лог приложу может прояснится что-нить.
Позже видимо вирус снова восстановился hijackthis второй раз не запустился, combatfix тоже
[QUOTE=wise-wistful;221870]Алкоголь установлен или был установлен?[/QUOTE]
установлен
т.е. попытка завершилась BSOD или "Press ESC to loading a347bus.sys"
не могу прикрепить лог - "вложить файлы" не активна
hijackthis - неинформативен и пока не нужен.
[quote=akoK;221882]т.е. попытка завершилась BSOD или "Press ESC to loading a347bus.sys"[/quote]
BSOD это что?пока был на месте a347bus.sys был запрос на его загрузку, если нажимал ESC, то комп сразу перезагружался, если не жал, то перезагружался после паузы.
[b]BSOD это что?[/b]
Это синий экран смерти....
Нагуглил я вариант сноса драйверов от [url=http://forum.udm.ru/vb/forum41/thread33537.html]алкоголя[/url]. Надо избавиться от a347bus.sys и сопровождающих.
[QUOTE=akoK;221891][b]BSOD это что?[/b]
Это синий экран смерти....
[/QUOTE]
тогда его не было, просто перезагрузка и все
[QUOTE=akoK;221891]
Нагуглил я вариант сноса драйверов от [url=http://forum.udm.ru/vb/forum41/thread33537.html]алкоголя[/url]. Надо избавиться от a347bus.sys и сопровождающих.[/QUOTE]
Прочитал, пошел чистить. После чистки может получиться загрузиться в безопасном режиме?
если получится, то выполняйте скрипт в посте №26.....
Будем надеяться.
Уже....не запустилась!