Вот получил логи из-под SafeMode:
Вот получил логи из-под SafeMode:
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если имеется в виду в обычном режиме, то придется бороться с проблемой "не является Win32 приложением", червяк покоцал налетуСообщение от Alex_Goodwin
Выполните
Обычный режим не вернется?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','german.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit'); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe'); DeleteFile('C:\WINDOWS\system32\wintems.exe'); BC_ImportDeletedList; BC_DeleteSvc('srosa'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Это можно и из под BartPE прибить..C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
> rubin
Обычный режим и раньше был.
Скрипт выполнил. Загрузился в обычном режиме. Но признаки действия вируса продолжают наблюдаться:
- попытка запустить с HDD свежераспакованный avz.exe - "не является приложением Win32"
- попытка обновить базу при запуске tt.exe (переименнованного avz.exe, ещё не покоцанного) - "File not found" на neurald.avz
- CureIt! также выдает "c:\windows\system32\wintems.exe инфицирован Win32.HLLM.Beagle" и постоянно генерящиеся файлы "c:\windows\system32\drivers\down\340031.exe инфицирован Win32.HLLM.Beagle"
Добавлено через 2 минуты
Я это делал ещё до обращения в форум.
Результат отрицательный.
Последний раз редактировалось Johnmen; 02.03.2008 в 18:42. Причина: опечатка
> Alex_Goodwin
> А если в безопасном?
В безопасном запускаю. Но что дальше делать? Для чего это программа?
> Gmer попробуйте.
Попробовал запустить - "CreateFile "C:\WINDOWS\gmer.dll": Не удается найти указанный файл"
> CureIt пробовали?
Пробовал. О чем писАл выше.
Последний раз редактировалось Johnmen; 02.03.2008 в 17:45.
http://virusinfo.info/showthread.php?t=17228
Удалите файлы, упомянутые в скрипте.
Добавлено через 7 минут
c:\windows\explorer.exe
отправьте нам по правилам.
Последний раз редактировалось Alex_Goodwin; 02.03.2008 в 18:17. Причина: Добавлено
Загрузился в SM.
Запустил IceSword.exe
Удалил файлы:
C:\WINDOWS\SYSTEM32\mdekl.exe
C:\WINDOWS\SYSTEM32\wintems.exe
C:\WINDOWS\SYSTEM32\DRIVERS\srosa.sys
C:\WINDOWS\SYSTEM32\DRIVERS\hlprrr.exe
Перегрузился в обычном режиме.
Признаки наличия и активности вируса остались. Их уже приводил в ответ на пост rubin.
Прикрепил заархивированный explorer.exe
Подозреваемый файл в теме - моветон.
Последний раз редактировалось pig; 02.03.2008 в 19:01. Причина: Убрал прикреплённый файл
explorer сюда - http://virusinfo.info/upload_virus.php?tid=18920
http://www.viruslist.com/ru/viruses/...rusid=21780028
Реестр в безопасном через icesword почистите, найдите папку, где бигль хранит файлы и удалите.
Закачал.
Добавлено через 48 минут
Сделал по рекомедациям в ссылке. Похоже, получилось!
И, как указано в ссылке, насчет создаваемой службы Megadrv3 - была у меня такая! И сильно я её подозревал...
Сейчас буду проводить комплекс тестирования.
По кр.мере AVZ запускается с HDD, базу обновил успешо.
Большущее спасибо!
Ещё пара моментов...
1.
> rubin
Пожалуйста, хотелось бы услышать об експлорере, если вдруг с ним проблемы.
2.
AVZ в процессе сканирования сообщает:
C:\Program Files\MarkAny\ContentSafer\MaAgent.exe >>> подозрение на Trojan-Dropper.Win32.Small.mh ( 005DF367 00000000 001E0758 0021AE59 57344)
каюсь, я напроч забыл, что это такое, MaAgent.exe
Подскажите, что это и зачем это.
Последний раз редактировалось Johnmen; 02.03.2008 в 20:33. Причина: Добавлено
Логи-то для контроля сделайте - посмотрим.
Сделал логи. Выкладываю.
1. Ждем ответа по explorer
2. Выполните скрипт:
Карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('srosa'); SetServiceStart('srosa', 4); DeleteService('srosa'); QuarantineFile('C:\WINDOWS\System32\Drivers\av9o1cpd.SYS',''); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Выслал карантин после выполнения скрипта.
explorer.exe_
Вредоносный код в файле не обнаружен.
Повторите логи с п.10 Правил..
PS: av9o1cpd.SYS в карантин не попал, это daemon tools\alcohol
Это хорошо!
Спасибо!
Вот повторенные логи:
пофиксите ...
выполните скрипт ...Код:O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
повторите последние два лога ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); BC_DeleteSvc('srosa'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Уважаемый(ая) Johnmen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
