|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам |
|
|||||
|
|
Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам
|
|
Новый участник Сообщения: 16 |
1. Началось все после перезарузки. Перезагрузка не была принудительной, я сам перезагрузил, вручную. Касперский при этом работал, ничего подозрительного вроде бы не было. После запуска вырубилось сетевое соединение и перестал запускаться интернет (домашняя сеть через PPPoE). Что стало с Касперским к сожалению тогда не обратил внимание.
Перезагрузил еще раз. 2. Интернет стал работать, но я уже увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32". 3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой  Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление самыми разными способами ветки реестра про безопасный режим ни к чему не приводит. Только что восстановленная ветка удаляется автоматически прямо на глазах через пару секунд (наблюдается в регедите). Загружался с Hirens'Boot CD, восстанавливал ветку - один фиг, в сейф мод не входит, а потом уже в винде смотрю - ветки нет. Восстановление системы выключено, я его вообще никогда не включаю. Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis 4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет. 5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Win32.HLLM.Beagle в winterms.exe и mdelk.exe, удалил. Толку нет, все тоже самое, вирусняк остался. Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему). Он нашел Win32.Bagle.of в нескольких файлах. Все удалил, перезагрузился - толку нет. Посоветуйте пожалуйста что делать? Второй день долбаюсь, завтра уже рабочий неделя, работать надо а на компе эта хрень P.S. Сейчас записал образ с касперского rescue диск, буду с него грузиться и прогоню еще раз все файло. |
|
|
Отправлено: 10:38, 17-01-2010 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Выложите логи в соответствии с этими инструкциями.
|
|
------- Отправлено: 12:59, 17-01-2010 | #2 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
Цитата bankomat:
|
||
|
Отправлено: 14:12, 17-01-2010 | #3 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Что же делать?
|
|
Отправлено: 14:50, 17-01-2010 | #4 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Цитата bankomat:
|
||
|
------- Отправлено: 16:06, 17-01-2010 | #5 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Цитата Drongo:
Я сейчас пробую с него загрузится и с него прогнать AVZ и выложить сюда логи. |
|
|
Отправлено: 16:26, 17-01-2010 | #6 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Удалось запустить полиморфный AVZ с ключами AG=Y AM=Y
Сейчас сканирует. Только вот AVZPM не запустился, AVZ в своем логе написал, что ошибка С000009A |
|
Отправлено: 17:12, 17-01-2010 | #7 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Выполните скрипт в avz
Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Сделайте новые логи. |
|
Отправлено: 17:44, 17-01-2010 | #8 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Обновить базы AVZ не удалось потому что соответствующий пункт меню неактивный. И вот еще выдал ошибку "Ошибка AVZ Guard: C000009A".
Тем не менее, вроде бы удалось все просканировать по инструкции. Вот первые логи. snifer67 Спасибо, сейчас буду выполнять данный скрипт. |
|
Отправлено: 17:59, 17-01-2010 | #9 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Делайте логи после моего скрипта.
|
|
Отправлено: 18:25, 17-01-2010 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Какому рейтингу по антивирусам можно доверять? | ITSpec | Хочу все знать | 6 | 17-12-2009 15:10 | |
| Не могу избавиться от Win32.HLLM.Beagle | sapfeer | Лечение систем от вредоносных программ | 19 | 29-11-2009 20:00 | |
| Не могу справитьсмя с Win32.HLLM.Beagle | seezamm | Лечение систем от вредоносных программ | 3 | 21-10-2008 08:56 | |
| [решено] не получается работать с Office Shrinker | Denchik | Автоматическая установка приложений | 3 | 07-05-2006 01:47 | |
|
|
Время: 20:25. | © OSzone.net 2001-2025
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
