-
Junior Member
- Вес репутации
- 65
win32.HllM.beagle убил антивирус
Стоял аваст 4.7 про, все обновления делаются постоянно
Вчера в 12 дня пропал, при попытке переустановки исчезает экзешный файл.
Проверил компьютер утилитой cureit от доктор веба, она сообщила что компьютер заражён вирусом win32.HllM.beagle, заражённые файлы эта программа удалила
перезагрузился.
при попытке переустановить аваст у него опять пропал экзешник. отсканировал заново cureit'ом, та опять нашла заражённые файлы. при каждом новом сканировании такие файлы находятся.
Читал на разных ветках про этот вирус, он действительно удаляет экзешник аваста и многие другие экзешники, не даёт компьютеру загрузиться в безопасном режиме.
Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить Правила, для начала.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
AndreyKa
а стандартной процедуры под именно этот вирус нет?
насколько я понял, вирус довольно распространённый, возможно есть какой-нибудь многократно применённый способ лечения?
-
Сообщение от
Roden
а стандартной процедуры...
Выполнение правил обращения за помощью, и есть стандартная процедура, после которой начинается работа по выявлению вредоносной программы, которую ещё не знают антивирусные программы.
-
-
Выполнение Правила и есть "стандартная процедура". А лечение конкретного трояна/вируса требует специальных действий. Чтобы их сформулировать требуется информация.
-
-
Junior Member
- Вес репутации
- 65
Последний раз редактировалось Roden; 08.02.2007 в 13:27.
-
Visiting Helper
- Вес репутации
- 76
Шаги лечения
1. запустить AVZ
2. запустистить сканирование с опцией нейтрализации кернел мод руткитов
3. запустить AVZ Guard
4. добавить в отложенное удаление 2 файла
1) C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
2) C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
НЕ ВЫКЛЮЧАЯ AVZ перезагрузится. и будем считать от багле и вирусного драйвера избавились.
Для анализа прислать
с:\windows\system32\spoolsv.exe
c:\windows\system32\hldrrr.exe (99% вирус)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Junior Member
- Вес репутации
- 65
выполнил все по инструкции.
После перегзагрузки просканировал C: посредством cureit.
Все тот же m_hook.sys найден по адресу:
C:\Documents and Settings\SerBriz\Application Data\hidires
Кроме того, найдено еще 6 файлов с названием из 6 цифр и расщирением .exe, зараженных beagle, по адресу:
C:\WINDOWS\exefld
Значит, о beagle пока забыть нельзя?
Во вложении испрашиваемый файл spoolsc
hldrrr.exe не найден в указанной папке
-
Junior Member
- Вес репутации
- 65
-
И хорошо. Файлы присылают через специальную страницу, читайте Приложение 2 к правилам. Ссылка на тему: http://virusinfo.info/showthread.php?t=6278
-
-
Попробуем еще раз действуя последовательно.
1. Отключитесь от Интернет.
2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
3. Запустите сканирование.
4. После окончания сканирования найдите и отправьте в карантин, следующие файлы:
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
с:\windows\system32\spoolsv.exe
c:\windows\system32\hldrrr.exe
C:\WINDOWS\exefld\*.exe
5. Пришлите содержимое карантина так, как описано в Приложении 2 Правил.
-
-
Junior Member
- Вес репутации
- 65
архив на месте
m_hook.sys и ныне там же
-
Присланные файлы все из семейства Win32.HLLM.Beagle:
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe - Win32.HLLM.Beagle
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys - Win32.HLLM.Beagle
C:\WINDOWS\exefld\158062.exe - Win32.HLLM.Beagle
C:\WINDOWS\exefld\189171.exe - Win32.HLLM.Beagle
c:\windows\system32\hldrrr.exe - инфицирован Win32.HLLM.Beagle.45070
Лечить так.
1. Отключитесь от Интернет.
2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
3. Запустите сканирование.
4. После окончания сканирования включите AVZGuard.
5. Выполните отложенное удаление для файлов:
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
c:\windows\system32\hldrrr.exe
и всех .exe файлов в папке C:\WINDOWS\exefld
6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
7. Перезагрузите компьютер не выходя из AVZ.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
AndreyKa
6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
следовал инструкции, кроме п.6 т.к. указанных строк там не было
после перезагрузки Cureit'ом был найден в папке c:\windows\exefld файл 181453.exe
-
Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?
Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.
Повторите логи для контроля по пунктам 10-13 Правил.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
AndreyKa
Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?
Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.
Повторите логи для контроля по пунктам 10-13 Правил.
Повторил лечение. Сейчас сканирую Cureit'ом.
Логи повторю.
-
Junior Member
- Вес репутации
- 65
вроде чисто
спасибо за помощь
особая благодарность в адрес AndreyKa
таки помог отсрочить тестирование ОП Vista
Последний раз редактировалось Roden; 08.02.2007 в 13:27.
-
Remote Administrator сами устанавливали?
Вы можете нам помочь в дальнейшей борьбе с заразой.
Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь:
http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами.
Если в результате файл превысит 20 МБ, то его придется разбить многотомным архивом.
-