Показано с 1 по 18 из 18.

win32.HllM.beagle убил антивирус (заявка № 6278)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65

    win32.HllM.beagle убил антивирус

    Стоял аваст 4.7 про, все обновления делаются постоянно
    Вчера в 12 дня пропал, при попытке переустановки исчезает экзешный файл.
    Проверил компьютер утилитой cureit от доктор веба, она сообщила что компьютер заражён вирусом win32.HllM.beagle, заражённые файлы эта программа удалила
    перезагрузился.
    при попытке переустановить аваст у него опять пропал экзешник. отсканировал заново cureit'ом, та опять нашла заражённые файлы. при каждом новом сканировании такие файлы находятся.


    Читал на разных ветках про этот вирус, он действительно удаляет экзешник аваста и многие другие экзешники, не даёт компьютеру загрузиться в безопасном режиме.

    Что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Что делать?
    Выполнить Правила, для начала.

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65

    Unhappy

    Цитата Сообщение от AndreyKa
    Выполнить Правила, для начала.
    а стандартной процедуры под именно этот вирус нет?
    насколько я понял, вирус довольно распространённый, возможно есть какой-нибудь многократно применённый способ лечения?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Roden
    а стандартной процедуры...
    Выполнение правил обращения за помощью, и есть стандартная процедура, после которой начинается работа по выявлению вредоносной программы, которую ещё не знают антивирусные программы.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполнение Правила и есть "стандартная процедура". А лечение конкретного трояна/вируса требует специальных действий. Чтобы их сформулировать требуется информация.

  7. #6
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    Вот и они.
    Последний раз редактировалось Roden; 08.02.2007 в 13:27.

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Шаги лечения
    1. запустить AVZ
    2. запустистить сканирование с опцией нейтрализации кернел мод руткитов
    3. запустить AVZ Guard
    4. добавить в отложенное удаление 2 файла
    1) C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
    2) C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
    НЕ ВЫКЛЮЧАЯ AVZ перезагрузится. и будем считать от багле и вирусного драйвера избавились.

    Для анализа прислать

    с:\windows\system32\spoolsv.exe
    c:\windows\system32\hldrrr.exe (99% вирус)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  9. #8
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    выполнил все по инструкции.
    После перегзагрузки просканировал C: посредством cureit.
    Все тот же m_hook.sys найден по адресу:
    C:\Documents and Settings\SerBriz\Application Data\hidires
    Кроме того, найдено еще 6 файлов с названием из 6 цифр и расщирением .exe, зараженных beagle, по адресу:
    C:\WINDOWS\exefld
    Значит, о beagle пока забыть нельзя?
    Во вложении испрашиваемый файл spoolsc
    hldrrr.exe не найден в указанной папке

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    потерял вложение

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    И хорошо. Файлы присылают через специальную страницу, читайте Приложение 2 к правилам. Ссылка на тему: http://virusinfo.info/showthread.php?t=6278

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Попробуем еще раз действуя последовательно.
    1. Отключитесь от Интернет.
    2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
    3. Запустите сканирование.
    4. После окончания сканирования найдите и отправьте в карантин, следующие файлы:
    C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
    C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
    с:\windows\system32\spoolsv.exe
    c:\windows\system32\hldrrr.exe
    C:\WINDOWS\exefld\*.exe
    5. Пришлите содержимое карантина так, как описано в Приложении 2 Правил.

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    архив на месте
    m_hook.sys и ныне там же

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Присланные файлы все из семейства Win32.HLLM.Beagle:
    C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe - Win32.HLLM.Beagle
    C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys - Win32.HLLM.Beagle
    C:\WINDOWS\exefld\158062.exe - Win32.HLLM.Beagle
    C:\WINDOWS\exefld\189171.exe - Win32.HLLM.Beagle
    c:\windows\system32\hldrrr.exe - инфицирован Win32.HLLM.Beagle.45070

    Лечить так.
    1. Отключитесь от Интернет.
    2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
    3. Запустите сканирование.
    4. После окончания сканирования включите AVZGuard.
    5. Выполните отложенное удаление для файлов:
    C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
    C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
    c:\windows\system32\hldrrr.exe
    и всех .exe файлов в папке C:\WINDOWS\exefld

    6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
    C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
    7. Перезагрузите компьютер не выходя из AVZ.

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    Цитата Сообщение от AndreyKa
    6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
    C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
    следовал инструкции, кроме п.6 т.к. указанных строк там не было
    после перезагрузки Cureit'ом был найден в папке c:\windows\exefld файл 181453.exe

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?

    Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.

    Повторите логи для контроля по пунктам 10-13 Правил.

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    Цитата Сообщение от AndreyKa
    Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?

    Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.

    Повторите логи для контроля по пунктам 10-13 Правил.
    Повторил лечение. Сейчас сканирую Cureit'ом.
    Логи повторю.

  18. #17
    Junior Member Репутация
    Регистрация
    20.09.2006
    Сообщений
    26
    Вес репутации
    65
    вроде чисто
    спасибо за помощь
    особая благодарность в адрес AndreyKa
    таки помог отсрочить тестирование ОП Vista
    Последний раз редактировалось Roden; 08.02.2007 в 13:27.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Remote Administrator сами устанавливали?

    Вы можете нам помочь в дальнейшей борьбе с заразой.
    Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь:
    http://virusinfo.info/showthread.php?t=3519
    Не забудьте при этом закрыть все программы, которые вы запустили сами.
    Если в результате файл превысит 20 МБ, то его придется разбить многотомным архивом.

  • Уважаемый(ая) Roden, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    2. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    3. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    4. win32.HllM.beagle убил антивирус [часть 2]
      От Martinz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.04.2008, 23:25
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01516 seconds with 19 queries