Win32.Bagle.beu Не могу запустить AVZ, не является приложением win32 :)

**Aleksandra** · 06.10.2009, 02:04

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 SetServiceStart('Schedule', 4);
 DeleteService('srosa');
 DeleteService('sK9Ou0s');
 DeleteFile('C:\Users\mk_\AppData\Roaming\drivers\srosa2.sys');
 DeleteFile('C:\Users\mk_\AppData\Roaming\drivers\wfsintwq.sys');
 DeleteFile('C:\Users\mk_\AppData\Roaming\drivers\winupgro.exe');
 DeleteFile('C:\Users\mk_\AppData\Local\Google\Update\GoogleUpdate.exe');
 DeleteFile('C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-3197298884-975491977-876197761-1000Core.job');
 DeleteFile('GoogleUpdateTaskUserS-1-5-21-3197298884-975491977-876197761-1000Core.job');
 DeleteFile('C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-3197298884-975491977-876197761-1000UA.job');
 DeleteFile('GoogleUpdateTaskUserS-1-5-21-3197298884-975491977-876197761-1000UA.job');
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','drvsyskit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mk_** · 06.10.2009, 02:12

ок

**Aleksandra** · 06.10.2009, 02:18

Чуть подправила скрипт. Еще раз выполните исправленный вариант. После повторите лог.

**mk_** · 06.10.2009, 02:26

ок

**Aleksandra** · 06.10.2009, 02:34

По последнему логу все чисто, но Вы еще:

1. Пройдитесь разок антируткитом. Все что найдет удаляйте.
2. Сделайте оба лога обычным AVZ.

**mk_** · 06.10.2009, 02:39

Сообщение от Aleksandra

По последнему логу все чисто, но Вы еще:

1. Пройдитесь разок антируткитом. Все что найдет удаляйте.
2. Сделайте оба лога обычным AVZ.

вы имеете ввиду avast'ом? - ок

wifi по прежнему отказывается работать...может это быть связано с вирусом?

по пути users...\AppData\Roaming\drivers - осталась скрытая папка downld, в Gmer ее не удалить...как то можно? хоть она и пустая..

**Aleksandra** · 06.10.2009, 02:48

Сообщение от mk_

по пути users...\AppData\Roaming\drivers - осталась скрытая папка downld, в Gmer ее не удалить...как то можно? хоть она и пустая..

Удалить не выходит?

**mk_** · 06.10.2009, 03:08

Сообщение от Aleksandra

Удалить не выходит?

все ок удалил, но самое то поганое не это, а wifi...чет даже не знаю с какой стороны подходить...не видит он сеть и все тут (роутер работает - второй комп тоже через wifi)

видимо дело в какой то службе

**Aleksandra** · 06.10.2009, 03:48

Попробуйте переустановить драйвера...

**mk_** · 06.10.2009, 04:13

Сообщение от Aleksandra

Попробуйте переустановить драйвера...

0 эффекта, Служба автонастройки WLAN (WLAN AutoConfig) не могу ее включить, говорит дочернюю служба отключена...пытаюсь выяснить какая..

вообще как то странно после лечения

например напрочь отказывается переключать раскладку клавы...смена сочетания клавиш ничего не дает..

**Aleksandra** · 06.10.2009, 04:50

Сообщение от mk_

Служба автонастройки WLAN (WLAN AutoConfig) не могу ее включить, говорит дочернюю служба отключена...пытаюсь выяснить какая..

http://xkor.homeip.net/delphi/docs/v...AutoConfig.htm

Добавлено через 21 минуту

Сообщение от mk_

например напрочь отказывается переключать раскладку клавы...смена сочетания клавиш ничего не дает..

http://www.web-palette.ru/sub/useful/n2/n5/nn (п. 1 отпадает)

Сообщение от mk_

вообще как то странно после лечения

Еще какие-то проблемы?

**mk_** · 06.10.2009, 05:57

Hello,
The worm Win32 Bagle deleted some services from my system.Now my PC is clean but I can not use WZC and my WIFI NIC is dead because of the missing NDIS Usermode I/O Protocol service.
Is there a way to install NDIS Usermode I/O Protocol service without making clean reinstall?
My OS is WinXP SP2 build 2600

.....

I fixed the problem.I see that Wi-FI has been demaged on everybody that has been infected with win32 bagle worm.So here is my solution to the problem
I found that the service still exist in the registry but its not visible in the service.msc console.
So here is what I did:
Go to Start>run>regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Ndisuio
I changed the start value to 2(automatic).It was 4(disabled)
After reboot my WIFI was working again.

оказывается это симптомы данного вируса, решение помогло
взято отсюда http://forums.techguy.org/windows-nt...sermode-i.html

Для запуска языковой панели необходимо, что в регистре в ветви [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] присутствовал строковый параметр "ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe". Проверте также наличие самого файла.

это тоже помогло.

Добавлено через 18 минут

Выражаю благодарность Aleksandre, а также сайту

спасибо

**CyberHelper** · 07.10.2009, 05:57

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\users\mk_\appdata\local\google\update\googleupd ate.exe - Trojan-Downloader.Win32.Bagle.beu ( NOD32: Win32/Bagle.TD worm )
2. c:\users\mk_\appdata\roaming\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( AVAST4: Win32:Beagle-AAW [Trj] )

Win32.Bagle.beu Не могу запустить AVZ, не является приложением win32 :) (заявка № 56196)

Опции темы

Итог лечения

Похожие темы

не является приложением win32

...не является приложением win32

Не является приложением Win32

...exe не является приложением win32

Не является приложением win32

Ваши права в разделе