Поймал вирус Beagle ...никак не избавиться

[loungeserj]

Здравствуйте,поймал этот вирус Beagle + winupgro.exe и srosa2.sys. Очень нужна помощь в удалении.Естественно антивирусы не запускаются переименовывание AVZ в pif не помогает.Поэтому сканировал систему через RootRepeal сейчас приложу логи. Aswar запускается сканирует и даже находит чтото,но через какое-то время егго вырубает.Восстановление системы отключил.Да и ещё звук через раз работать стал.

[Никита Соловьев]

http://virusinfo.info/showthread.php?t=1235

[loungeserj]

Я писал выше что ни одна из утилит Avz или HiJackThis не запускаются,мелькают секунду и их вырубает.Или дело в другом?

[Никита Соловьев]

Полиморфный AVZ

[loungeserj]

Тоже не запускается,я скачивал уже ,и сам переименовывал,не хочет.
Может через лив СД или ещё какую-нить прогу.Логи от RootRepeal не подходят?

[Aleksandra]

Логи от RootRepeal не подходят?

C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe

В RootRepeal правой кнопкой мыши выберите Wipe File и на перезагрузку... Попробуйте запустить полимофный AVZ и сделать лог virusinfo_syscheck.

[loungeserj]

После вайпа и перезагрузки он ожил заново,тогда просто убил его и сделал логи.

[Aleksandra]

Моя.

[loungeserj]

Это вы так темы делите ? =)

[Никита Соловьев]

Моя.

Sorry

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 DelBHO('{F7303337-2AC6-4C19-9F8F-278ED8DB780E}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\oallib.dll','');
 DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
 QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
 QuarantineFile('mncpmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
 QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
 QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4874927500-0262974081-787662380-2021\sysdate.exe','');
 QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
 QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
 QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE','');
 QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
 QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE','');
 QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
 QuarantineFile('0.exe','');
 DeleteService('xkffrluw');
 DeleteService('WINIO');
 QuarantineFile('C:\WINDOWS\system32\winio.sys','');
 DeleteService('rwyjitzf');
 DeleteService('rthfwbko');
 DeleteService('ropfjjpl');
 DeleteService('qxymvkun');
 DeleteService('psbujazx');
 DeleteService('pglfdpwk');
 DeleteService('lqneufjb');
 DeleteService('lhmljaln');
 DeleteService('kwhbuyyw');
 DeleteService('jvpeqjlu');
 DeleteService('jkuohdyd');
 DeleteService('iqufwvhs');
 DeleteService('gdzfthdh');
 DeleteService('epjflbuy');
 DeleteService('egmjkdch');
 DeleteService('bzymthds');
 DeleteService('btjobmqa');
 DeleteService('axlzkryk');
 DeleteService('agosqmpo');
 DeleteService('Mxqs Service');
 QuarantineFile('Mxqs Service.sys','');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('Mxqs Service.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\agosqmpo.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\axlzkryk.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\btjobmqa.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\bzymthds.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\egmjkdch.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\epjflbuy.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\gdzfthdh.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\iqufwvhs.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\jkuohdyd.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\jvpeqjlu.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\kwhbuyyw.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\lhmljaln.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\lqneufjb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\pglfdpwk.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\psbujazx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\qxymvkun.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\rthfwbko.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\rwyjitzf.sys');
 DeleteFile('C:\WINDOWS\system32\winio.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\xkffrluw.sys');
 DeleteFile('0.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-4874927500-0262974081-787662380-2021\sysdate.exe');
 DeleteFile('mncpmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Network DHCP Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRunServices','Microsoft Network DHCP Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Network DHCP Manager');
 DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\oallib.dll');
 DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58620

3. Повторите лог virusinfo_syscheck.

[loungeserj]

winupgro.exe всё ещё живо, также убил процесс и сделал лог

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
 QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
 QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
 QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
 QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
 QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
 QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
 DeleteService('ropfjjpl');
 DeleteService('srosa');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58620

3. Повторите лог virusinfo_syscheck.

[loungeserj]

Нод и так не запускался так что отключать вроде как нечего,если тока удалять.Выполнил,гад пока жив,так же для запуска авз убивал процесс.

[Aleksandra]

Выполнил,гад пока жив,так же для запуска авз убивал процесс.

Естественно, так как он еще в автозагрузке. Карантин нужен, чтобы знать где он там.

[loungeserj]

Я отсылал какрантин,естественно после 2 скрипта,отослал ещё раз.(пишет что данный файл был загружен)ща имя поменяю.Да не вроде отослан.

[Aleksandra]

В карантине мусор. Очистите папку карантина ручками. После выполнения скрипта проверьте карантин. В нем должно быть много файлов.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe','');
 QuarantineFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jusched.exe','');
 QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
 QuarantineFile('C:\Program Files\FreeCall.com\FreeCall\FreeCall.exe','');
 QuarantineFile('C:\Program Files\Eset\nod32kui.exe','');
 QuarantineFile('C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
 QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
 QuarantineFile('C:\Documents and Settings\Sergey\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
 DeleteService('ropfjjpl');
 QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys','');
 DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

[loungeserj]

Выполнил скрипт ещё раз,карантин вообще не создался,зиповский файл всмыле.АВЗ запускаю естественно полиморфный.Другой не пашет.Я что-то не так делаю?

[Aleksandra]

В папке с AVZ должен быть карантин. Посмотрите там есть что?

[loungeserj]

нет