Блокировка антивирусных программ

Printable View

16.06.2008, 23:19
Вася54

Блокировка антивирусных программ

Привет Всем!
Стоявший в системе Доктор Веб запуститься отказался, сообщив, что не является приложением Win32, кроме того все флеш носители стали поражаться вирусом autorun Win32 HLLM. Beagle.220.
Дайте инструкции как лечить!!!
Спасибо!8)
16.06.2008, 23:36
Зайцев Олег

Все ясновидящие и гадалки к сожалению в отпусках, поэтому необходимо выполнить правила - [URL]http://virusinfo.info/showthread.php?t=1235[/URL] - и приложить положенные по ним логи. Тогда можно посоветовать что-то предметное для борьбы со зловредом.
17.06.2008, 00:06
Вася54

Вложений: 1

Логи

Добрый вечер Олег!!
Посылаю лог AVZ.
17.06.2008, 00:16
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('c:\windows\system32\drivers\hldrrr.exe','');
QuarantineFile('c:\windows\system32\drivers\downld\633218.exe','');
QuarantineFile('d:\Загрузка\60.com','');
DeleteFile('c:\windows\system32\drivers\downld\633218.exe');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('c:\windows\wintems.exe');
DeleteFile('c:\windows\drivers\mdelk.exe');
DeleteFile('c:\windows\mdelk.exe');
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин соглано приложения 3 правил ...
выполните пункт 2 правил ...
сделайте полный комплект логов ...
17.06.2008, 00:30
Вася54

Уважаемый V_Bond!
Карантин выслал...
""выполните пункт 2 правил" - это какие?
Спасибо!
17.06.2008, 00:36
V_Bond

это эти [url]http://virusinfo.info/showthread.php?t=1235[/url]
17.06.2008, 20:11
Вася54

V_Bond, добрый вечер!
Пункт 2 этот-
"2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! ...."?
17.06.2008, 20:16
V_Bond

именно ...
17.06.2008, 20:37
Вася54

Машина в безопасном режиме не грузится..
Экспресс проверка DrWeb - CureIT в обычном режиме -"Вирусов нет"!
17.06.2008, 20:39
V_Bond

эсспресс проверка это несерьезно .... нужно делать полную ...
после такого скрипта в safe mode
[code]
begin
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
17.06.2008, 20:49
Вася54

В safe mode машина не грузится!!
17.06.2008, 20:57
akok

Значит проверьте в обычном режиме....но нужна полная проверка.
17.06.2008, 20:59
Гриша

Выполните в [URL="http://virusinfo.info/showthread.php?t=7239"]AVZ[/URL]:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(10 );
RebootWindows(true);
end.[/CODE]

Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ+логи по правилам,прикрепите все к сообщению.
18.06.2008, 00:44
Вася54

Вложений: 1

Исправление ошибки

Нормальные логи для Гриши!!
18.06.2008, 08:35
Гриша

Теперь логи по правилам...
18.06.2008, 20:55
Вася54

Вложений: 2

Логи для Гриши

Логи по правилам....:)
18.06.2008, 22:27
V_Bond

логи по правилам начиная с пункта 8 ...
19.06.2008, 00:40
Вася54

Вложений: 2

Логи п 8

Проверка п 8
19.06.2008, 00:48
Вася54

Вложений: 1

Лог п9

После перезагрузки
19.06.2008, 00:58
Вася54

Вложений: 1

Последний лог

С победой сборной России, ура.....:P
19.06.2008, 01:14
V_Bond

пофиксите ...
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBCA30A-82E4-4E91-B20E-B139951D08FD}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{573DB885-518B-4FC5-B8AA-0F3431CEB58D}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{862ADAB2-33D2-4C0D-8210-EACAC9987D86}: NameServer = 85.255.116.146 85.255.112.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O17 - HKLM\System\CS1\Services\Tcpip\..\{4BBCA30A-82E4-4E91-B20E-B139951D08FD}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O17 - HKLM\System\CS2\Services\Tcpip\..\{4BBCA30A-82E4-4E91-B20E-B139951D08FD}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
[/code]
какие проблемы остались ...
19.06.2008, 21:09
Вася54

Добрый вечер Всем!
Пофиксил 017, но антивирус не запускается....
20.06.2008, 01:14
V_Bond

после Beagle антивирус нужно переустановить ....
20.06.2008, 18:49
Вася54

Добрый вечер V_Bond!
Огромное спасибо, вроде все работает!!!
22.02.2009, 05:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\downld\\633218.exe - [B]Email-Worm.Win32.Bagle.vr[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\drivers\\hldrrr.exe - [B]Trojan-Downloader.Win32.Bagle.qz[/B] (DrWEB: Win32.HLLM.Beagle.219)[*] c:\\windows\\system32\\drivers\\srosa.sys - [B]Trojan-Downloader.Win32.Bagle.mm[/B] (DrWEB: Win32.HLLM.Beagle.219)[/LIST][/LIST]