Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 59.

Подозрение на Win32.HLLM.Beagle.216 (заявка № 23016)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63

    Thumbs up Подозрение на Win32.HLLM.Beagle.216

    Всё началось с синего экрана, потом перезагрузка, DrWeb выдал сообщение: "Внимание, вирус. Spider guard (R) for Windows XP C:\Windows\system32\drivers\srosa.sys Win32.HLLM.Beagle.216 - исцелен", после чего разом накрылись и DrWeb, Comodo firewall и wi-fi соединение.

    Попытался запустить AVZ: спустя пару секунд после запуска - закрывается. Иногда после простого клика на программу висла вся папка и explorer. Пытался и переименовать, с разными расширениями и названиями и переустановить программу - та же картина. С hijackthis та же картина, но в этом случае я успел получить лог. :)

    Безопасная загрузка Windows не работает. Srosa.sys в папке с драйверами не нашел. Сейчас сижу со второго компьютера, программы переносил на флэшке.

    Что делать?
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте этот авз .... он уже переименован(обновлять не нужно) ... и сделайте логи ....

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Если не получиться, у меня в подписи есть вторая ссылка

  5. #4
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Получилось, AVZ запустился.
    Прикрепил логи.
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\nideiect.com','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('H:\autorun.inf');
     DeleteFile('H:\nideiect.com');
    BC_ImportALL;
    BC_DeleteSvc('srosa');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    BTCPatcher.exe - поищите через AVZ - "Сервис - Поиск файлов на диске", если найдется, добавьте в карантин.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=23016).
    Сделайте новые логи (попробуйте обычной AVZ).
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    BTCPatcher.exe не нашелся.
    Выполнил скрипты и пофиксил строки.
    Со второго компьютера скачал свежую AVZ, обновил базы, начал делать логи.
    Похоже, что нашлось еще что-то?
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\X-winger\Local Settings\Temp\98exhmunmlclr10.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
     DeleteFile('C:\Documents and Settings\X-winger\Local Settings\Temp\98exhmunmlclr10.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3правил ...
    повторите логи ...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    на каждую систему своя тема - что не понятно?

  10. #9
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Всё сделал.
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    зловредного ничего не видно ....
    обновите базы антивируса и выполните полную проверку ...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт для полной чистки от червя в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    SaveLog(GetAVZDirectory + 'B_d.txt');
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин, если туда что-то попадет.
    Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Все сделал, отослал карантин.
    Но файла boot_clr_B_d.log в папке avz не нашел, прикрепил B_d.txt
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Прогоните такой скрипт:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    SaveLog(GetAVZDirectory + 'B_d.txt');
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Прикрепите полученные логи и сделайте новый комплект логов по правилам

  15. #14
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Готово, но boot_clr_B_d.log снова не создался.
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чисто,жалобы есть?

  17. #16
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    По-прежнему не грузится безопасный режим и все его производные (вылетает после SPTD.sys), не работает wi-fi соединение.
    Не устанавливается DrWeb и файерволл.

  18. #17
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    Похоже, что-то опять начало происходить. Прикрепил логи.
    Последний раз редактировалось X-winger; 31.05.2008 в 00:08.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('C:\WINDOWS\system\smvss.exe','');
     QuarantineFile('H:\autorun.inf','');
     DeleteFile('H:\nideiect.com');
     DeleteFile('H:\autorun.inf');
     DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
     DeleteFile('C:\WINDOWS\system\smvss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    выполните пункт 2 правил ....
    повторите логи ...
    Последний раз редактировалось V_Bond; 18.05.2008 в 21:10.

  20. #19
    Junior Member Репутация
    Регистрация
    13.03.2007
    Сообщений
    37
    Вес репутации
    63
    При попытке выполнить скрипт пишет: "Ошибка ";"expected в позиции 9.2"

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поправил ...

  • Уважаемый(ая) X-winger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:26
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. Подозрение на Win32.HLLM.Beagle.210
      От bumt в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.04.2008, 21:00
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01252 seconds with 19 queries