Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Возможно Win32.HLLM.Beagle (заявка № 17471)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59

    Thumbs up Возможно Win32.HLLM.Beagle

    Добрый день! Имею проблемы во многом аналогичные описанным в этой теме http://virusinfo.info/showthread.php?t=17081
    Сиптомы:
    • Странное поведение сети. При отключенном кабеле появляется "левое" Local Area Connection для Microsoft TV/Video
    • Компьютер перегружается при попытке закрыть некоторые приложения, например, Skype.
    • Невозможно загрузиться в Safe Mode - появляется надпись Press Esc to skip loading d347bus.sys после чего комп перегружается.
    • Невозможно отключить System Restore для системного диска (для второго раздела получается).
    • CureIt переименнованный в aaa.exe находит Win32.HLLM.Beagle в с:\windows\system32\drivers\srosa.sys, который обещает вылечить после перезагрузки, но не лечит.
    • Даже переименованный AVZ не запускается (Ошибка vvv.pif Is not a valid Win32 Application). При этом при попытке распаковать архив с AVZ на системный диск архиваторы выдавали ошибку на файлах вирусных баз: neurald, neuralm, rootkit, scripts, syscheck, susipu. В результате успешно распаковал на второй раздел.
    • Кстати, попытка установить Kaspersky Internet Security успехом не увенчалась.

    Прошу совета с запуском AVZ для сбора диагностики.
    Последний раз редактировалось neudachnik; 03.02.2008 в 12:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, разыскать и удалить следующие файлы:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe

    Скорее всего, после этого AVZ будет нормально работать.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Если есть возможность - загрузиться с LiveCD, Bart PE или др. загрузочного диска, разыскать и удалить следующие файлы.
    Все оказалось непросто! После удаления переименованный AVZ запускается, но вирусина удаляет scripts.avz и не позволяет скопировать его в каталог из других мест....
    Я сделал проверку из пол miniPE, из под которой и удалял файлы. Помогут такие логи или надо все-таки запуститься из под зараженной системы?
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Это логи самой PE, они практически бесполезны.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Это логи самой PE, они практически бесполезны.
    Да, я так и думал...
    А можно как-нибудь получить стандартные скрипты в тексте, нескомпилированными?
    Просто AVZ я запустить могу, но как только пытаюсь открыть стандартные скрипты через его меню, я получаю ошибку, о том, что файл не найден. Ну и он, естественно, оказывается удален с диска.
    Переименованная копия стандартных скриптов у меня есть, но как ее выполнить в AVZ я не могу понять...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Кроме трех перечисленных, поищите еще C:\WINDOWS\system32\mdelk.exe, это из той же компании. Если он есть, возможно его удаление изменит ситуацию. Заодно проверьте, не возродилась ли та троица.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Так вот лог Highjack для зараженной системы. AVPtool запускается, но собрать информацию о системе не может, при запуске сканирования или AVZ_CollectSysInfo stopping... или AVZ_CollectSysInfo partialy running... и ничего не происходит.
    Да, в systems32 лежит mdelk.exe - грохать его?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Грохайте, только пришлите нам копию, и еще вот этот:
    C:\WINDOWS\system32\csteqchk.dll
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Грохайте, только пришлите нам копию, и еще вот этот: C:\WINDOWS\system32\csteqchk.dll
    Хм, mdelk.exe я удалил раньше, чем прочитал ваше сообщение.
    csteqchk.dll послал по правилам.

    Есть еще hlddr.exe, ps.exe и srosa.sys. Первые два Bagle.jd, третий - Bagle.iw, если верить AVPTool. Прислать?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от neudachnik Посмотреть сообщение
    Есть еще hlddr.exe, ps.exe и srosa.sys. Первые два Bagle.jd, третий - Bagle.iw, если верить AVPTool. Прислать?
    Присылайте и удаляйте! Про srosa.sys я уже говорил в сообщении #2, это именно он противодействует антивирусным программам.

    Добавлено через 10 минут

    C:\WINDOWS\system32\csteqchk.dll - not-a-virus:AdWare.Win32.BHO.aa
    (тоже фтопку )
    Последний раз редактировалось Bratez; 03.02.2008 в 16:33. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Присылайте и удаляйте! Про srosa.sys я уже говорил в сообщении #2, это именно он противодействует антивирусным программам.
    Дык, уже два раза удалял. Самовосстанавливается!

    А стоит пытаться свежим AVPTool их и другое добро лечить?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от neudachnik Посмотреть сообщение
    А стоит пытаться свежим AVPTool их и другое добро лечить?
    Разумеется.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Разумеется.
    Победа! После удаления обсужденных вредоносных файлов и отключения всех элементов автозапуска.
    Также отправляю по правилам все вредоносы.
    Вложения Вложения

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите восстановление системы.
    srosa.sys - Trojan-Downloader.Win32.Bagle.cu (по Касперскому)
    Выполните в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('srosa', 4);
    StopService('srosa');
     QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('D:\ktpcv\setup_7.0.0.180_03.02.2008_14-02.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
    DeleteService('srosa');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится. Загрузите карантин согласно приложения 3 правил. поссылке http://virusinfo.info/upload_virus.php?tid=17471
    Посмотрите есть ли такая папка C:\WINDOWS\exefqd - если да то удалите её вместе со всем содержимым
    С хост файлом сами эксперементировали?

    127.0.0.1 localhost
    127.0.0.2 sy
    127.0.0.10 ebs
    127.0.0.15 oldebs
    127.0.0.20 oldicas
    127.0.0.25 icas
    127.0.0.30 arfine
    127.0.0.50 bio
    127.0.0.60 luettelo
    127.0.0.70 ls
    127.0.0.75 ls2
    127.0.0.80 ovanes
    127.0.0.90 tris
    127.0.0.255 php5
    127.0.0.160 shava
    127.0.0.180 termal
    Последний раз редактировалось wise-wistful; 03.02.2008 в 19:29.

  16. #15
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    С хост файлом сами эксперементировали?
    Да - это все мое. Ничего лишнего нет.

    Добавлено через 1 минуту

    D:\ktpcv\setup_7.0.0.180_03.02.2008_14-02.exe - это AVPTool .

    Я уберу из срипта, ок?
    Последний раз редактировалось neudachnik; 03.02.2008 в 19:28. Причина: Добавлено

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Убирайте, без проблем.

    Добавлено через 6 минут

    И повторите логи.
    Последний раз редактировалось wise-wistful; 03.02.2008 в 19:38. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Убирайте, без проблем.

    Добавлено через 6 минут

    И повторите логи.
    В карантине только Popcaploader. Новые логи прилагаю.
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    1
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin 
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\tandpl.sys','');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  21. #20
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    16
    Вес репутации
    59
    Отправил.

  • Уважаемый(ая) neudachnik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 37
      Последнее сообщение: 11.06.2010, 18:23
    2. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    3. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    4. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00883 seconds with 20 queries