Показано с 1 по 15 из 15.

Лечу win32.beagle, но есть сложности (заявка № 81384)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28

    Thumbs up Лечу win32.beagle, но есть сложности

    Уже во второй раз сталкиваюсь с биглом. Подхватил его, но компьютер при первых признаках не перезагружал, а прошелся cureit и nod32.
    Они нашли заразу, но все не удалили. Затем я скачал OSAM - в прошлый раз он мне помого. Я определил где находится зараза и вычистил из под диска с линуксом данные папки и файлы:
    %system32%/drivers/wfsintwq.sys
    %system32%/drivers/srosa2.sys
    c:/documents and settings/aplication data/drivers
    c:/documents and settings/aplication data/hidres
    c:/documents and settings/aplication data/m
    c:/windows/wintems.exe
    c:/program files/alcohol 120/axautomountsrv.exe
    Затем перезагрузился. Сейчас вирус вроде бы себя не проявляет, но:
    1) не открывается сайт микрософт и обновление системы
    2) не удается восстановить языковую панель
    3) не удается расшарить интернет по wifi - соединение между компьютером, который я лечу, и ноутбуком есть, но c ноута пингуются только локальные ip. Временно лечится запуском мастера настройки
    домашней сети, но после перезагрузки снова пропадает.
    Думаю, это не единственные сервисы, которые грохнул вирь.
    Прошелся AVZ и нашел еще кое-что. Логи AVZ и Hijack в аттаче. Заранее спасибо.

    Сейчас OSAM показывает, что вирус в авторан не прописан, но от него остался мусор в реестре, буду подчищать.
    А нет, лучше трогать не буду пока. Кажется, wfsintwq.sys вернулся.
    Последний раз редактировалось Telemonster; 20.06.2010 в 17:39. Причина: карантин в теме неуместен

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Выполнил, прикрепил.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Что сейчас с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Ну все стало несколько лучше - вайфай теперь шарится. Но вот сайт микрософта и апдейты все также не работают. То же и с языковой панелью. Подмена и ручной перезапуск ctfmon не помогают. В то же время, переключение языков работает.

    Сайт микрософта, кстати, работает с ноутбука, на который шарится инет. Апдейты на этом ноутбуке тоже работают.

    И, кстати, с записью дисков проблемы начались - из образа писаться диски отказываются.
    Последний раз редактировалось Telemonster; 21.06.2010 в 08:39. Причина: забыл сказать))

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Обновите базы AVZ и переделайте логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Обновил. Отослал.
    Карантин тоже отправил.
    Последний раз редактировалось Telemonster; 21.06.2010 в 17:06.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Готово.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\Software\WS4001 (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP31\A0004352.exe (Malware.Tool) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP67\A0016707.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018985.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018989.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018990.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0018993.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP68\A0020597.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0020624.exe (Worm.Bagle) -> No action taken.
    C:\System Volume Information\_restore{AB5B7B0C-BEE9-459B-9615-A69D24ECBBFF}\RP69\A0021170.exe (Worm.Bagle) -> No action taken.
    E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0038846.dll (Trojan.KillAV) -> No action taken.
    E:\System Volume Information\_restore{E63B5A94-FF6E-4EA3-A954-4F8259BFB56A}\RP2\A0040511.exe (Malware.Packer.Krunchy) -> No action taken.
    Доступа к сайту MS нет?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Да. Bad Request. HTTP Error 400.

    А, блин. Ссылку в начале поста не увидел. Сейчас удалю.

    Ок, удалил. Единственное - лог никуда не сохранился и даже после удалдения не открылся
    Сейчас запущу полный скан еще раз на всякий случай. Логи прикреплю.

    Майкрософт - все еще бэд реквест.
    Последний раз редактировалось Telemonster; 22.06.2010 в 15:52.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    20.06.2010
    Адрес
    SPB
    Сообщений
    7
    Вес репутации
    28
    Повторное сканирование выдало только кейгены и крэки с прошлого раза, точки восстановления чисты. Реестр пофиксил. Перезагружаюсь...

    Ок, обновления и микрософт заработали. Что с ctfmon делать?

    А все, не надо. Решил проблемку с ним сам - бяка поставила галочку на дополнительные текстовые службы, а они блочат ctfmon.

    thyrex, Огромное спасибо за то, что помогли.
    Последний раз редактировалось Telemonster; 22.06.2010 в 19:23.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Telemonster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Monoca и прочие сложности
      От mazia в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 31.08.2010, 13:33
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:26
    3. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    4. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 16:14
    5. Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)
      От Alexey P. в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 09.11.2005, 06:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01375 seconds with 16 queries