Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 73.

win32.hllm.beagle.212 (заявка № 22241)

  1. #1
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59

    Question win32.hllm.beagle.212

    Не могу сделать по "правилам", т.к. он блокирует работу(100% заргузка процессора) позже перезагружает комп. При попытке заугрядиться в бедопасном режиме - перегружает комп. Загрузился с CD, скачал последний CureIt им и нашел этот вирус. CureIt почистил, но после загрузки то же самое. Видел где-то в теме, что можно с помощью IceSword его отключить при загрузке и дальше почистить. Скачиваю IceSword, а он не рабочий. Штук 5 разных выкачал, ни один архив не распаковался - CRC error.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Виндоус у Вас на C: в стандартной папке Windows установлен?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    да

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
    Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
    Переименуйте программу в football.pif
    Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
    Код:
    Comment:
    Script to delete the Bagle worm
    
    Drivers to disable:
    srosa
    
    Files to delete:
    C:\windows\system32\drivers\srosa.sys
    C:\windows\system32\drivers\hldrrr.exe
    C:\windows\system32\wintems.exe
    C:\windows\system32\mdelk.exe
    C:\windows\system32\drivers\mdelk.exe
    
    Folders to delete:
    C:\WINDOWS\system32\drivers\down
    C:\WINDOWS\system32\drivers\downld
    Компьютер перезагрузится (возможно 2 раза).
    Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt )
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Скачал, пытаюсь распаковать архив получаю crc error (это все на другой машине).

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Скачайте отсюда http://www.megaupload.com/ru/?d=OUCJ5J9F и попробуйте (он уже распакован и переименован в football.pif ).
    Последний раз редактировалось kps; 29.04.2008 в 19:22. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    Скачайте отсюда http://www.megaupload.com/ru/?d=OUCJ5J9F и попробуйте (он уже распакован и переименован в football.pif ).
    киньте, пожалуйста, на graham rambler ru. Ни с одного файлообменника нет доступа для скачивания

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отправил, пришло?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    Отправил, пришло?
    пришло, получил.
    запускаю для проверки на здоровом компе, получаю следующею ошибку
    "Инструкция по адреса 0x7c913396" обратилась к памяти по адресу 0xb77d4cef. Память не может быть "read"."

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Что-то я сомневаюсь, что этот комп здоровый
    Если есть возможность - загрузитесь с установочного диска Windows и зайдите в Консоль Восстановления либо загрузитесь с LiveCD, Bart PE или др. загрузочного диска, найдите и удалите, если есть, следующие файлы:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    windows\system32\drivers\mdelk.exe

    После этого скачайте заново AVZ, попробуйте запустить AVZ и сделать логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Почистил кэш, отключил восстановление винды и почистил папки system voluem information на каждом разделе. Это все делал после загрузки с LiveCD. После этого запустил CureIt, он удалил
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    windows\system32\drivers\mdelk.exe
    Перезагружаюсь, с винта. Снова тормозит. Загружаюсь с LiveCD, проверяюсь CureIt
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    снова на месте.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Попробуйте, загрузившишь с LiveCD, удалить эти файлы
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    windows\system32\drivers\mdelk.exe
    сами (без CureIt!).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    После CureIT перезагрузился с LiveCD, проверил на наличие этих файлов - их нет. Сейчас попробую загрузиться и запустить AVZ.

    Добавлено через 6 минут

    Загрузился с винта, запустил переименованный AVZ. Только залез в скрипты, выскочила ошибка и AVZ закрылся вместе с диалогом ошибки, больше не запускается. Попробовал запустить AVZ с компакта, не запускается.

    Добавлено через 5 минут

    Снова загрузился с LiveCD, нашел и удалил:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\drivers\mdelk.exe

    Этих нет:
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    Последний раз редактировалось graham; 29.04.2008 в 20:18. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Пробовали после этого скачать заново AVZ и запустить?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    Пробовали после этого скачать заново AVZ и запустить?
    Скачать из интернета на зараженной машине c Beagle? Нет не пробовал, после загрузки начинается скачивание чего-то из интернета поэтому в интернете на другой машине.
    Пробовал загрузиться с винта, скопировать с компакта AVZ. При компировании выскакивает ошибка записи. Перезагрузился с LiveCD, файлы перечисленные выше, снова на месте. Удалил. Скопировал AVZ с компакта, запустил под LiveCD - нормально. Переименовал avz.exe, загрузился с винта. Запустил переименованный AVZ, только залез в скрипты, получил ошибку о том, что не может найти scripts.avz. Попробовал запустить переименованный hijackthis, он свернулся после соглашения.

    Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. Зарязился я не через браузер, а после запуска exe, его архив я не удалял, лежит в укромном месте.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от graham Посмотреть сообщение
    Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже.
    начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
    настоятельно рекомендую запустить авенжер и выполнить скрипт на машине с биглем .... у вашей "здоровой" похоже своих проблем хватает ...

  18. #17
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    скачал занво avenger на "здоровой" машине, записал на флэшку. запуск экзэшника из архива после загрузки с винчестера на "поврежденной" машине - "файл не найден", запуск football.pif, аналогично.

    Добавлено через 1 минуту

    Цитата Сообщение от V_Bond Посмотреть сообщение
    начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
    ает ...
    логи Вам обязательно предоставлю, как только получится запустить и выполнить скрипты AVZ и hijackthis.
    Последний раз редактировалось graham; 30.04.2008 в 10:36. Причина: Добавлено

  19. #18
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Давайте попробуем так, скачайте Combofix по одной из этих ссылок ссылка1, ссылка2, ссылка3 , сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.

  20. #19
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    45
    Вес репутации
    59
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Давайте попробуем так, скачайте Combofix по одной из этих ссылок ссылка1, ссылка2, ссылка3 , сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.
    Скачал со второй ссылки. Загрузился с винта, скинул с флэшки combofix, запустил. Комп повис и никаких больше действий.

  21. #20
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вы не пытались окно с ним закрывать? Попробуйте ещё раз запустить, только запустили и как говориться не дышать на комп, не трогать ни мышу ни клавиатуру.

  • Уважаемый(ая) graham, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Win32.HLLM.Beagle (Bagle)
      От NABLA1986 в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 28.07.2009, 01:25
    2. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. Подозрение на Win32.HLLM.Beagle.210
      От bumt в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.04.2008, 21:00
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01422 seconds with 19 queries