Junior Member
Вес репутации
60
модификация beagle блокирует работу переименованного AVZ
Заразился вирусом, имея на борту NOD32 с последними базами. Вроде бы имеет все признаки Beagle, но видимо какая-то новая модификация. Обнаружил его, когда понял, что ни антивирус, ни фаерволл, ни AVZ не хотят запускаться. Сообщение – «nod32.exe is not a valid win32 application». Нормально запустить AVZ можно только в safe mode (войти в него можно, только восстанавливая каждый раз удаленные вирусом ключи реестра). Если переименовать файл и папку, он, либо ругается на неправильные файлы в вирусной базе, либо пишет «Ошибка при инициализации». Поэтому выполнять любвые действия с ним можно только в режиме защиты от сбоев.
СureIT в safe mode нашел и опознал только c:\windows\system\32\wimtems.exe, а также несколько jpg, зараженных win32.HLLM.Beagle в кэше internet explorera Кроме того, есть также постоянно восстанавливаемый c:\windows\system32\drivers\hldrrr.exe и c:\windows\system32\mdelk.exe, а также c:\windows\system32\drivers\down в которой постоянно появляются файлы типа 124356.exe. Никакие отложенные удаления избавиться от этой заразы не позволяют.
P.S. пошарился по форуму – обнаружил, что все совпадает с этим случаем: http://virusinfo.info/showthread.php?p=175500
Srosa.sys тоже есть, папки C:\WINDOWS\exefq – нет.
Неужели решение еще не найдено?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Дайте еще такой лог
http://virusinfo.info/showthread.php?t=10387
Добавлено через 3 минуты
Заметен кусок Symantec
Добавлено через 11 минут
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('srosa', 4);
StopService('srosa');
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\down\134015.exe','');
QuarantineFile('H:\ADSA\1.COM','');
QuarantineFile('H:\ADSA\1.COM','');
QuarantineFile('H:\ADSA\1.bat','');
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\WINDRVR.SYS','');
QuarantineFile('dac960nt.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\cw_vrctl.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
QuarantineFile('C:\WINDOWS\system32\hal.dll','');
QuarantineFile('C:\DOCUME~1\Artem\LOCALS~1\Temp\taGyaB77.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\axy84p3f.SYS','');
QuarantineFile('L:\sda.bat','');
QuarantineFile('l:\sda.bat','');
DeleteFile('C:\WINDOWS\system32\drivers\down\134015.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteService('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17027
Попробуйте повторить логи в обычном режиме
Последний раз редактировалось akoK; 26.01.2008 в 19:51 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Приложил.
когда-то стоял symantec antivirus corporate. недавно поставил symantec pcanywhere
это traffic inspector agent - клиентская программа для локальной сети
QuarantineFile('I:\autorun.inf','');
это на флэшке остатки вылеченного вируса
QuarantineFile('H:\ADSA\1.COM','');
QuarantineFile('H:\ADSA\1.COM','');
QuarantineFile('H:\ADSA\1.bat','');
это переименованные мною avz и hijackthis
QuarantineFile('C:\\dvt.exe','');
это составляющая кряка для nod32
QuarantineFile('L:\sda.bat','');
QuarantineFile('l:\sda.bat','');
это переименованный мной cureit.exe. Карантин без известных мне файлов выслан.
Попробуйте повторить логи в обычном режиме
безрезультатно, даже если загружаться с ag=y. попробовал выполнить тот же самый скрипт, что уже выполнял в safe mode - компьютер экстренно перезагрузился.
Вложения
выполните скрипт ...
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
сделайте логи в нормальном режиме ...
Junior Member
Вес репутации
60
После первого запуска скрипта мне удалось запустить AVZ в нормальном режиме, но на флэшке, с которой я его запускал не оказалось места, поэтому записать логи не удалось. в последующие разы эффекта от скрипта не было никакого. Доступа к файлам стандартных скриптов получить не удалось. Раз десять пробовал - без толку.
Попробуйте переписать AVZ с флешки на винтчестер
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Сообщение от
akoK
Попробуйте переписать AVZ с флешки на винтчестер
Пробовал и так, и так - ничего не помогало(видимо, троян изменил свое поведение), пока не добавил в скрипт вот это:
DeleteFile('C:\WINDOWS\system32\mdelk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\10256 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\10700 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\11506 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\11926 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\12428 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\12439 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\12618 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\12668 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\12920 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13121 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13234 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13460 9.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13634 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13714 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\13814 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\14390 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\14609 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\14679 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\15851 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\16889 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\16932 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\17032 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\17107 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\17956 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\18043 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\18098 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\18695 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\18781 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\18873 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19068 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19103 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19121 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19131 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19250 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19340 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19428 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19450 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19514 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\19971 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\20815 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\20921 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21160 9.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21240 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21312 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21376 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21479 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21737 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21835 9.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21887 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\21953 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\22276 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\22332 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\22473 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\22770 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\23214 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\23970 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\24606 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\25140 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\25228 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\25346 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\25756 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\26000 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\26862 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\27265 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\27414 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\28114 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\28735 9.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\29142 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\29493 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\30609 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\30632 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\30898 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\30981 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\31048 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\31128 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\31646 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32006 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32114 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32204 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32512 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32590 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32725 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\32843 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\33115 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\33190 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\33928 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\34296 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\34309 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\34640 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\35571 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\35868 7.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\36029 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\36101 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\36217 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\36454 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\36709 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\37289 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\37645 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\37721 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\37950 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\38404 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\38487 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\38576 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\38756 2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\39321 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\39575 0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\39753 1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\41390 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\44679 6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\45201 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\47187 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\50459 3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\51285 9.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\54773 4.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\54962 5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\61907 8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\65078 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\66062 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\74078 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\76515 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\77296 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\78218 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\78437 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\80562 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\80890 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\88578 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\90125 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\94468 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\97984 .exe');
DeleteFile('C:\WINDOWS\system32\drivers\down\a.bat ');
Логи высылаю.
Вложения
J:\ - это у вас что ?
полную проверку Cureit Выполняли ?
Junior Member
Вес репутации
60
Сообщение от
V_Bond
J:\ - это у вас что ?
полную проверку Cureit Выполняли ?
Это внешний винчестер seagate freeagent 750 gb. выполнял только проверку диска c:. сейчас полную произведу.
Сообщение от
Gekster
Это внешний винчестер seagate freeagent 750 gb.
тогда пришлите(по ссылке над темой ) карантин собранный авз (virusinfo_cure.zip) ....
Junior Member
Вес репутации
60
Сообщение от
V_Bond
тогда пришлите(по ссылке над темой ) карантин собранный авз (virusinfo_cure.zip) ....
выслал. правда в нем в основном известные мне файлы, которые вряд ли представляют какую-либо угрозу. а вот cureIT показывается сейчас, что зараженные Win32.HLLM.Beagle и Trojan.PWS.Nerf якобы .jpg в temporary internet files не только не ичезли после предыдущей проверки CureIT, но и наоборот расплодились. Если что, часть их у меня сохранена в карантине CureIT.
Junior Member
Вес репутации
60
Сообщение от
V_Bond
J:\ - это у вас что ?
полную проверку Cureit Выполняли ?
проверку сделал. лог прикладываю. через некоторое время после того, как я собрал логи AVZ, способность поганить его базы к трояну снова вернулась.
Вложения
Junior Member
Вес репутации
60
В итоге привел скрипт к следующему виду:
begin
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys' );
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe ');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\mdelk.exe');
DeleteFileMask('C:\documents and Settings\Artem\Local Settings\Temporary Internet Files', '*.*', true);
DeleteFileMask('C:\WINDOWS\system32\drivers\down', '*.*', true);
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторяемо помогает, но лишь в том случае, если предварительно в msconfig выбрать диагностический режим загрузки без сервисов и автозапуска. А в них-то что-то неопределяемое и присутствует. ЧТо лучше делать дальше?
сделайте новые логи ... авз ...
у вас на сьемном диске присутствует авторун пришлите его по правилам (отдельно) ...
Junior Member
Вес репутации
60
Сообщение от
V_Bond
сделайте новые логи ... авз ...
у вас на сьемном диске присутствует авторун пришлите его по правилам (отдельно) ...
сделал. высылаю. ауторан тоже высылаю. правда в нем всего ишь ссылка на инсталлятор ПО внешнего винчестера, дистрибутив которого тут же лежит. а может ли у меня тоже быть зараженным punto switcher?
как в этом случае: http://virusinfo.info/showthread.php?t=16703&page=2
Вложения
Junior Member
Вес репутации
60
Запустил все сервисы. вирус не появился.
сейчас в логах чисто ...
насчет пунто ... не похоже на тот случай ... там зловред переименовывыл его ... и сам запмсывался на его место ...
Junior Member
Вес репутации
60
Сообщение от
V_Bond
сейчас в логах чисто ...
насчет пунто ... не похоже на тот случай ... там зловред переименовывыл его ... и сам запмсывался на его место ...
но в любом случае иницирован какой-то из авторановских файлов. потому что, стоит мне загрузиться в нормальном режиме, как троян опять активизируется
Junior Member
Вес репутации
60
Новое наблюдение: троян активизируется после запуска internet explorer. попытаюсь поискать в апплетах
кстати, он блокирует доступ по протоколу http . только ping'и проходят. помогает winsockfix.
Последний раз редактировалось Gekster; 28.01.2008 в 21:06 .
Причина: Добавлено
интересует ,только ничего из того что вы говорите в логах нет ...
давайте новые логи ... чудес не бывает ...