-
Junior Member
- Вес репутации
- 59
В процессах висят DNTUS26.exe, uphclean.exe, FoldersizeSvc.exe
Словил вируса, причем похоже знатного. В одну минуту он убил NOD 32 и выкинул синий экран, после чего перзагрузился. Заметил что в папке c:\WINDOWS\system32\drivers\downld\ создает файлы типа 63062.exe и т.д. Скачал avz последний запускать не дает, при загрузке в безопасном режиме XP дает синий экран. Прошу подсказать что с сией заразой делать. Помимо всего прочего остался файл откуда я подцепил вирусняк если понадобиться для лечения и опознания вируса могу выслать. надеюсь на вашу помощь. Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачать этот AVZ http://z-oleg.com/avz.exe переименовать в 123.com и сделать логи.
Подозрительный файл запакуйте с паролем "virus" и загрузите сюда http://virusinfo.info/upload_virus.php?tid=23269
-
-
Junior Member
- Вес репутации
- 59
Файл выслал по указанной ссылке. AVZ скачал переименовал, как вы сказали, но он так и не запустился...
-
Пробуйте скачать отсюда тут уже переименован http://depositfiles.com/ru/files/5384977
Добавлено через 3 минуты
WTware 4.0.5 With Crack.exe-Trojan-Downloader.Win32.Bagle.qe
Последний раз редактировалось Гриша; 23.05.2008 в 10:55.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Этот avz прошел, счас логи делаю... как сделаю прикреплю в этом сообщении...
-
Junior Member
- Вес репутации
- 59
прикрепил только логи avz.С Hijackthis та же проблема после установки не запускается...
Последний раз редактировалось AMD; 10.06.2008 в 12:01.
-
Отключите восстановление системы, как написано в правилах.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
QuarantineFile('C:\Program Files\One-click Audio Converter\OCAudioIni.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe','');
QuarantineFile('C:\Program Files\Mail.Ru\Agent\MAgent.exe','');
QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
QuarantineFile('C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe','');
QuarantineFile('C:\Program Files\Cerience\RepliGo\RepliGoMon.exe','');
QuarantineFile('C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23269 ).
Прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ и новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 59
Карантин отослал логи прекрепляю...
Последний раз редактировалось AMD; 10.06.2008 в 12:01.
-
C:\WINDOWS\system32\drivers\srosa.sys - Trojan-Downloader.Win32.Bagle.mm
C:\WINDOWS\system32\drivers\hldrrr.exe - Trojan-Downloader.Win32.Bagle.qe
C:\WINDOWS\system32\drivers\mdelk.exe - Trojan-Downloader.Win32.Bagle.qe
А теперь, где он маскируется -
C:\Program Files\Punto Switcher\ps.exe - Trojan-Downloader.Win32.Bagle.qe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Punto Switcher\ps.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Прикрепите лог : B_d.txt и новые логи по правилам.
После лечения Punto Switcher Вам надо будет установить заново, червь его подменил (скриптом должен удалиться).
-
-
Junior Member
- Вес репутации
- 59
Новые логи препляю про Punto Switcher понял перед скриптом посомотрел на файл, у него даже иконка изменилась и стала похоже на ту с которой изначально был вирус...
Последний раз редактировалось AMD; 10.06.2008 в 14:00.
-
выполните пункт 2 правил ....
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
выполните пункт 2 правил ....
Выполнил...все ок! Вирусов нет!!! Всем еще раз огромное спасибо за помощь!
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Junior Member
- Вес репутации
- 59
Опять этот же вирус себя проявил. автоматом закрывает IE при запуска с mailAgenta и выдает ошибку dll при открытии рисунка в памяти сидя файлы uphclean и dntus26.exe Прикрепляю логи...
-
в логах ничего плохого нет ....
dntus26.exe - легитимный процесс от DameWare ....
-
-
Junior Member
- Вес репутации
- 59
Хм...странно...Тогда буду копать в другом направлении
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\punto switcher\\ps.exe - Trojan-Downloader.Win32.Bagle.qe (DrWEB: Win32.HLLM.Beagle.220)
- c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.qe (DrWEB: Win32.HLLM.Beagle.220)
- c:\\windows\\system32\\drivers\\mdelk.exe - Trojan-Downloader.Win32.Bagle.qe (DrWEB: Win32.HLLM.Beagle.220)
- c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.mm (DrWEB: Win32.HLLM.Beagle.219)
- \\virus\\wtware 4.0.5 with crack.exe - Trojan-Downloader.Win32.Bagle.qe (DrWEB: Win32.HLLM.Beagle.220)
-