|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам |
|
|
Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам
|
|
Новый участник Сообщения: 16 |
1. Началось все после перезарузки. Перезагрузка не была принудительной, я сам перезагрузил, вручную. Касперский при этом работал, ничего подозрительного вроде бы не было. После запуска вырубилось сетевое соединение и перестал запускаться интернет (домашняя сеть через PPPoE). Что стало с Касперским к сожалению тогда не обратил внимание.
Перезагрузил еще раз. 2. Интернет стал работать, но я уже увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32". 3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой  Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление самыми разными способами ветки реестра про безопасный режим ни к чему не приводит. Только что восстановленная ветка удаляется автоматически прямо на глазах через пару секунд (наблюдается в регедите). Загружался с Hirens'Boot CD, восстанавливал ветку - один фиг, в сейф мод не входит, а потом уже в винде смотрю - ветки нет. Восстановление системы выключено, я его вообще никогда не включаю. Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis 4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет. 5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Win32.HLLM.Beagle в winterms.exe и mdelk.exe, удалил. Толку нет, все тоже самое, вирусняк остался. Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему). Он нашел Win32.Bagle.of в нескольких файлах. Все удалил, перезагрузился - толку нет. Посоветуйте пожалуйста что делать? Второй день долбаюсь, завтра уже рабочий неделя, работать надо а на компе эта хрень P.S. Сейчас записал образ с касперского rescue диск, буду с него грузиться и прогоню еще раз все файло. |
|
|
Отправлено: 10:38, 17-01-2010 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Цитата snifer67:
|
|
|
Отправлено: 18:36, 17-01-2010 | #11 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Выполните скрипт в avz
Код:
 begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\alex\application data\m\flec006.exe','');
QuarantineFile('C:\WINDOWS\System32\wmdmpmsvc.dll','');
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
QuarantineFile('c:\documents and settings\alex\application data\drivers\winupgro.exe','');
TerminateProcessByName('c:\documents and settings\alex\application data\drivers\winupgro.exe');
QuarantineFile('c:\windows\wintems.exe','');
TerminateProcessByName('c:\windows\wintems.exe');
DeleteFile('c:\windows\wintems.exe');
DeleteFile('c:\documents and settings\alex\application data\drivers\winupgro.exe');
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
DeleteFile('C:\WINDOWS\System32\wmdmpmsvc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
DeleteFile('c:\documents and settings\alex\application data\m\flec006.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Сделайте новые логи(обычным avz). |
|
Отправлено: 18:50, 17-01-2010 | #12 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать snifer67 - спасибо! Уже делаю логи. Судя по всему постепенно освобождается, так как обычный AVZ действительно стал работать нормально.
Только небольшой вопрос, поймите меня правильно, только мыло какое-то странное cherep12312345@mail.ru ? А насколько я знаю, карантины надо антивирусникам отправлять? |
|
Отправлено: 19:22, 17-01-2010 | #13 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать bankomat, Это хелперская электронная почта участника, который вам помогает.
|
|
------- Отправлено: 19:24, 17-01-2010 | #14 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Цитата Drongo:
 |
|
|
Отправлено: 19:28, 17-01-2010 | #15 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Все сделал, карантин отправил. Новые логи снял уже с обычного AVZ (базы обновил).
|
|
Отправлено: 19:57, 17-01-2010 | #16 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Выполните скрипт в avz
Код:
begin ExecuteRepair(13); RebootWindows(true); end. Просканируйтесь http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. |
|
Отправлено: 20:17, 17-01-2010 | #17 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Цитата snifer67:
Я докачиваю понемногу последнего Касперского, поставлю его вместо снесенного вирусами старого, обновлю базы и полностью просканирую все диски уже им. Как скан закончится, сделаю лог от AVZ (отличная программка) и выложу сюда. Еще раз - спасибо. |
|
|
Отправлено: 20:49, 17-01-2010 | #18 |
|
Новый участник Сообщения: 16
|
Профиль | Отправить PM | Цитировать Нового Касперского поставил, обновил, провел полное сканирование. Нашел и вылечил массу файлов. Вирусы и трояны в основном эти:
Trojan-Downloader.Win32.Bagle.avs rojan-Downloader.Win32.Bagle.cez Trojan-PSW.Win32.Agent.opl Email-Worm.Win32.Bagle.of Сканирование AVZ - провел, вот лог. |
|
Отправлено: 13:46, 18-01-2010 | #19 |
|
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать bankomat, Вот такой скрипт выполните
• Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\PROGRAMS\PROCESS\PROCEXP.EXE','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. |
|
------- Отправлено: 14:30, 18-01-2010 | #20 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Какому рейтингу по антивирусам можно доверять? | ITSpec | Хочу все знать | 6 | 17-12-2009 15:10 | |
| Не могу избавиться от Win32.HLLM.Beagle | sapfeer | Лечение систем от вредоносных программ | 19 | 29-11-2009 20:00 | |
| Не могу справитьсмя с Win32.HLLM.Beagle | seezamm | Лечение систем от вредоносных программ | 3 | 21-10-2008 08:56 | |
| [решено] не получается работать с Office Shrinker | Denchik | Автоматическая установка приложений | 3 | 07-05-2006 01:47 | |
|
|
Время: 16:03. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
