Trojan.Win32.Bagle

[alex-2]

Обнаружил в системе вот это :Trojan.Win32.Bagle. Помогите удалить и устранить последствия. Спасибо.

[thyrex]

Логи почему из безопасного режима? Переделать в нормальном

Дополнительно сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[alex-2]

Логи почему из безопасного режима? Переделать в нормальном

Дополнительно сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1

Сделал .1.Только не знаю куда Combofix сохранила лог.
Первоначально логи в безопасном режиме пот,что не запускался в норм.режиме. Меня лишили прав админа.

[thyrex]

Нужны права администратора. В противном случае все может оказаться пустой тратой времени

ComboFix сохраняет свой лог в файл C:\ComboFix.txt
Но если нет прав администратора, то лог мог не сохраниться вообще

[alex-2]

Установил консоль.В системе по прежнему глюки,иногда не могу экзэшник запустить.Каспер ремовал тулз удалён,а вот остатки к сожалению висят в системе. Лог выполнил .

[thyrex]

Удалим следы AVP Tool

Выполните скрипт в AVZ

Код:

begin
DeleteFile('c:\windows\system32\drivers\97903862.sys');
 DeleteFile('c:\windows\system32\drivers\9790386.sys');
 DeleteFile('c:\windows\system32\drivers\97903861.sys');
DeleteFile('c:\windows\system32\drivers\52816142.sys');
 DeleteFile('c:\windows\system32\drivers\5281614.sys');
 ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Кое-что было удалено и CоmboFix

В логах видны следы нескольких антивирусных продуктов. Оставьте только один

[alex-2]

Удалим следы AVP Tool
Кое-что было удалено и CоmboFix

В логах видны следы нескольких антивирусных продуктов. Оставьте только один

Подскажите,a-securiti anti malvare является антивирусной программой или антимальварэ т.е. в дополнение к антивирусу ? И ещё,в системе остались службы удалённых программ (a-squared free service,Lavasoft ad-aware serwice) как их удалить ?
Комп ведёт себя прилично.Большое Вам спасибо !!

[thyrex]

a-securiti anti malvare является антивирусной программой или антимальварэ т.е. в дополнение к антивирусу ?

Не сталкивался, потому не отвечу. Может коолеги подскажут

По поводу остального - ближе к вечеру

[alex-2]

И подскажите какие антивирусные продукты стоят в моей системе. Я считал ,что у меня только НОД 32.Жду Ваш вечерний выход!!
СПАСИБО ! Блестящая работа !

Добавлено через 2 часа 57 минут

отказано ..возможно у Вас нет прав...на запуск программ..AVZ запускается,а программы попроще - нет (я-онлайн,транслэйт клиент...).
Что делать ?

[thyrex]

Итого у Вас
a-squared Anti-Malware
IObit Security 360
a-squared Free
+ драйвер от Панды
+ драйвер антируткита от Avasta

а также NOD + Comodo

Что удаляем из первых в списке?

[alex-2]

Удаляем остатки несуществующих программ:IObit Security 360,+ драйвер от Панды(хотя это всего-лишь вакцина),+ драйвер антируткита от Avasta((а этого "парня" (молодец !!)я регулярно использую,он без установки работает,но драйвера оказывается все-же оставляет!)),ну и a-squared Anti-Malware serwice.(только не a-squared Free !!! Free-сканирует по требованию,без постоянного мониторинга,пусть останется),Lavasoft ad-aware serwice.
И на сегодня хватит разрушений. Ещё раз спасибо!

[thyrex]

Ну что ж, пробуем через AVZ (но права у Вас ограничены)

Выполните скрипт в AVZ

Код:

begin
DeleteService('pavboot');
 DeleteService('a2util');
 DeleteService('a2injectiondriver');
 SetServiceStart('aswArKrn', 4);
 DeleteService('aswArKrn');
 DeleteService('Lavasoft Ad-Aware Service');
 DeleteService('ISservice');
 DeleteService('a2AntiMalware');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArHlp.dll');
 DeleteFile('C:\Program Files\a-squared Anti-Malware\a2service.exe');
 DeleteFile('C:\Program Files\IObit\IObit Security 360\ISsrv.exe');
 DeleteFile('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware\App\AdAware\AAWService.exe');
 DeleteFile('C:\Program Files\a-squared Anti-Malware\a2dix86.sys');
 DeleteFile('C:\Program Files\a-squared Anti-Malware\a2util32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\pavboot.sys');
 DeleteFile('C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','a-squared');
DeleteFileMask('C:\Program Files\a-squared Anti-Malware', '*.*', true);
DeleteDirectory('C:\Program Files\a-squared Anti-Malware');
DeleteFileMask('C:\Program Files\IObit', '*.*', true);
DeleteDirectory('C:\Program Files\IObit');
DeleteFileMask('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware', '*.*', true);
DeleteDirectory('H:\прог\ЗАЩИТА\Lavasoft Ad-Aware');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте лог ComboFix

[alex-2]

Любопытно кто мне их ограничил и почему после перезагрузки они возвращаются,правда ненадолго...? Завтра отчитаюсь. Спокойной ночи !

[alex-2]

Всё удалил. Выкладываю лог комбификс. Жду указаний.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\docume~1\9335~1\LOCALS~1\Temp\aswArKrn.sys
c:\windows\system32\DRIVERS\5281614.sys
c:\windows\system32\drivers\52816141.sys

Driver::
52816141
setup_9.0.0.722_08.12.2009_23-41drv
aswArKrn

Folder::
c:\documents and settings\All Users\Application Data\McAfee
c:\documents and settings\All Users\Application Data\Kaspersky Lab

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[alex-2]

Всё сделал. Но лог комбофикс не нашёл в директории С ! Исчезла языковая панель ! Нашёл только эти два текстовых сообщения .

[thyrex]

Попробуйте сделать лог еще раз. Скрипт выполнять еще раз не нужно

[alex-2]

Лог выполнен.Вчера даже пасьянс паук сказал,что я не админ!

[thyrex]

Удалите ComboFix

Выполните скрипт в AVZ

Код:

begin
 DeleteService('aswArKrn');
 DeleteFile('c:\windows\system32\DRIVERS\5281614.sys');
 DeleteFile('c:\windows\system32\drivers\52816141.sys');
 DeleteFile('c:\docume~1\9335~1\LOCALS~1\Temp\aswArKrn.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

На этом можно закончить

[alex-2]

Я Вам благодарен за прекрасно проведенную операцию !