Показано с 1 по 9 из 9.

Подозрение на Win32.HLLM.Beagle.210 (заявка № 21845)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    10
    Вес репутации
    59

    Exclamation Подозрение на Win32.HLLM.Beagle.210

    Здравствуйте, уважаемые господа

    Зараза поубивала антивирусы.
    Cureit обнаружил и удалил один файл с вирусом Win32.HLLM.Beagle.210
    AVZ запускается только переименованый, но логи создать нельзя, т.к. запрещен доступ к файлам *.avz.
    KAV Tool не запускается. В безопасный режим комп не грузитья - останавливаетья на синем экране

    Посоветуйте, пожалуйста, что-нибудь доброе
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать это переименованный IceSword http://www.megaupload.com/?d=AUGYD37C

    Запустите,меню,File,появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):

    Код:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    параметр называется "drvsyskit", удалите его.

    Найдите параметр
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
    параметр называется "german.exe", удалите его.

    Посмотрите, есть ли ключ реестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun.

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.
    Последний раз редактировалось Гриша; 21.04.2008 в 17:22.

  4. #3
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    10
    Вес репутации
    59
    Сделал. Правда IceSword сначала не хотел запускаться.
    Загрузился через ERD Commander, удалилфайлы srosa.sys и mdelk.exe (hldrrr.exe и wintems.exe не оказалось), удалил папку WINDOWS\system32\drivers\downl, почистил ветку HKEY_LOCAL_MACHINE\SYSTEM\. После перезагрузки IceSword запустился, дочистил ветку HKEY_CURRENT_USER\SOFTWARE.
    Параметра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe" не оказалось. Перегрузился.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Удалите AVZ и скачайте заново, если он запустится, сделайте логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    10
    Вес репутации
    59
    Сделано
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего зловредного ...
    какие -то проблемы остались ?

  8. #7
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    10
    Вес репутации
    59
    Да вроде всё хорошо.
    Большое спасибо, добрые люди!!!

    Единственное, вирусяка что-то поправила в реестре и назад это не вернулось.

    Проводник-Сервис-Свойства папки-Вид-Дополнительные параметры: исчезла секция Скрытые файлы и папки. Соответственно нельзя установить свойство "Показывать скрытые папки и файлы".

    Может кто знает, где это подправить можно?

    С уважением,
    Игорь

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от bumt Посмотреть сообщение
    Проводник-Сервис-Свойства папки-Вид-Дополнительные параметры: исчезла секция Скрытые файлы и папки. Соответственно нельзя установить свойство "Показывать скрытые папки и файлы".

    Может кто знает, где это подправить можно?

    С уважением,
    Игорь
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ExecuteRepair(6);
     RebootWindows(true);
    end.
    Должно помочь

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Безопасный режим работает? Если нет - вот скрипт для восстановления его работы:
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Еще желательно выполнить пункт 2 правил, на случай, если на компьютере остались неактивные файлы червя.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) bumt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:26
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. Подозрение на Win32.HLLM.Beagle.216
      От X-winger в разделе Помогите!
      Ответов: 58
      Последнее сообщение: 26.05.2008, 23:10
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00369 seconds with 18 queries