-
Junior Member
- Вес репутации
- 63
Подозрение на Win32.HLLM.Beagle.216
Всё началось с синего экрана, потом перезагрузка, DrWeb выдал сообщение: "Внимание, вирус. Spider guard (R) for Windows XP C:\Windows\system32\drivers\srosa.sys Win32.HLLM.Beagle.216 - исцелен", после чего разом накрылись и DrWeb, Comodo firewall и wi-fi соединение.
Попытался запустить AVZ: спустя пару секунд после запуска - закрывается. Иногда после простого клика на программу висла вся папка и explorer. Пытался и переименовать, с разными расширениями и названиями и переустановить программу - та же картина. С hijackthis та же картина, но в этом случае я успел получить лог. :)
Безопасная загрузка Windows не работает. Srosa.sys в папке с драйверами не нашел. Сейчас сижу со второго компьютера, программы переносил на флэшке.
Что делать?
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте этот авз .... он уже переименован(обновлять не нужно) ... и сделайте логи ....
-
-
Если не получиться, у меня в подписи есть вторая ссылка
-
-
Junior Member
- Вес репутации
- 63
Получилось, AVZ запустился.
Прикрепил логи.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
Пофиксите в HijackThis:
Код:
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\nideiect.com','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\nideiect.com');
BC_ImportALL;
BC_DeleteSvc('srosa');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
BTCPatcher.exe - поищите через AVZ - "Сервис - Поиск файлов на диске", если найдется, добавьте в карантин.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=23016).
Сделайте новые логи (попробуйте обычной AVZ).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
BTCPatcher.exe не нашелся.
Выполнил скрипты и пофиксил строки.
Со второго компьютера скачал свежую AVZ, обновил базы, начал делать логи.
Похоже, что нашлось еще что-то?
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
пофиксите ...
Код:
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\X-winger\Local Settings\Temp\98exhmunmlclr10.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\Documents and Settings\X-winger\Local Settings\Temp\98exhmunmlclr10.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3правил ...
повторите логи ...
-
-
на каждую систему своя тема - что не понятно?
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
зловредного ничего не видно ....
обновите базы антивируса и выполните полную проверку ...
-
-
Выполните скрипт для полной чистки от червя в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин, если туда что-то попадет.
Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ.
-
-
Junior Member
- Вес репутации
- 63
Все сделал, отослал карантин.
Но файла boot_clr_B_d.log в папке avz не нашел, прикрепил B_d.txt
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
Прогоните такой скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.
Прикрепите полученные логи и сделайте новый комплект логов по правилам
-
-
Junior Member
- Вес репутации
- 63
Готово, но boot_clr_B_d.log снова не создался.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
-
-
Junior Member
- Вес репутации
- 63
По-прежнему не грузится безопасный режим и все его производные (вылетает после SPTD.sys), не работает wi-fi соединение.
Не устанавливается DrWeb и файерволл.
-
Junior Member
- Вес репутации
- 63
Похоже, что-то опять начало происходить. Прикрепил логи.
Последний раз редактировалось X-winger; 31.05.2008 в 00:08.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system\smvss.exe','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\nideiect.com');
DeleteFile('H:\autorun.inf');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system\smvss.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил ....
повторите логи ...
Последний раз редактировалось V_Bond; 18.05.2008 в 21:10.
-
-
Junior Member
- Вес репутации
- 63
При попытке выполнить скрипт пишет: "Ошибка ";"expected в позиции 9.2"
-
-