Help вирус УБИЙЦА антивирусов :)

[filus]

Привет, взываю о помощи к хелперам.

WinXP SP2, AVP 6.
Вчера АВП умер и больше не загружлся, при попытке загрузиться в безопасный режим выкидывает BSOD, при попытке установить какой либо антивирус установка завершается с ошибкой. Exe файлы всех известных мне антивирусов этот вирус портит вследствии чего при попытке их запустить вылетает ошибка "Не является приложением Win32". Загрузка Cureit проходит удачно если изменить название конечного файла на чтото другое, например ci.exe. Но при запуске проверки программа работает секунд 15 и закрывается.
Тоже самое происходит и с AVZ меняем имена exe и запускаем, 15 секунд и close, при распаковке архива, не разорхивируются 5 файлов базы. При попытке запустить в нём проверку на вирусы отвечает ошибкой.
Через какое то время отпадает интернет (сразу или через минуту по разному).

З.Ы. Логи выложить не могу т.к. в AVZ меню "Файл"=>"Стандартные скрипты" пусто, помогите кто чем может, заранее спасибо.

[Rene-gad]

Выполните то, что написано в Правилах в безопасном режиме. Без логов можем только format c: присоветовать

[filus]

Хм в безопасном не могу при загрузке Синий экран валит.

[PavelA]

Делай лог GSI (GetSystemInfo) Взять утилиту можно с сайта Касперского.

[kps]

Отключите восстановление системы, как написано в правилах (если еще не отключено), очистите кеш интернета.
hockey.pif это переименованный IceSword.
Скачайте отсюда:
http://www.megaupload.com/?d=AUGYD37C
Запустите его, зайдите слева в меню "Processes"
Выберите:
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
И если есть windows\system32\mdelk.exe
Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.
Удалите AVZ и скачайте заново. Попробуйте сделать логи и прикрепить.

[filus]

вот логи GSI, пока попробую вышесказанное.

[PavelA]

srosa.sys присутствует в логе. поступайте так как написал kps

[filus]

спасибо kps, помогло AVZ запустился, вот логи.

[kps]

Червь Bagle (который противодействовал антивирусам) удален (в логах не виден), но может еще неактивные его файлы где-то завалялись, поэтому выполните на всякий случай еще пункт 2 правил.

ConnectionServices - удалите обязательно через установку/удаление программ, это гадость.

Можно кое-что проверить,
выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\PRMT8\PRMTIE\options.htm','');
QuarantineFile('C:\WINDOWS\system32\drivers\rvtracer.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21146 ).

Пофиксите в HijackThis:

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Безопасный режим работает? Если нет, то выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится. Проверьте, работает ли безопасный режим.

[filus]

Извеняюсь что пропал на долго, свет выключили.
Значит так тему считаю можно закрыть. Безопасный режим грузится.
Карантин выслал согласно приложению 3.
Признаков вируса не наблюдаю, касперский встал нормально.
Спасибо всем кто помог, особенно kps, респект и уважуха.

З.Ы. Нашлись файлы из которых подцепил это чудо, не подскажете куда послать на исследование, а то касперский с новой базой его не ловит, и cureit тоже.

[Bratez]

Запакуйте в зип-архив с паролем virus и загрузите тут:
http://virusinfo.info/upload_virus.php?tid=21146
Они попадут куда следует

[filus]

вирус отправил, приятного припарирования

[Гриша]

Варез до добра не доведет,все файлы заражены Bagle

Добавлено через 2 часа 56 минут

UserGate 4.2 Cracked.exe_, UserGate 4.2.exe_, UserGate Proxy Server 4.1 KeyGen.exe_ -Trojan-Downloader.Win32.Bagle.mu

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\usergate proxy server 4.1 keygen.zip - Trojan-Downloader.Win32.Bagle.mu (DrWEB: archive: Win32.HLLM.Beagle)
  2. \\usergate 4.2 cracked(1).zip - Trojan-Downloader.Win32.Bagle.mu (DrWEB: archive: Win32.HLLM.Beagle)
  3. \\usergate 4.2(1).zip - Trojan-Downloader.Win32.Bagle.mu (DrWEB: archive: Win32.HLLM.Beagle)