Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Beagle! Друзья,помогите победить эту тварь. (http://forum.oszone.net/showthread.php?t=111201)

geniusdream 11-07-2008 06:57 848434
Beagle! Друзья,помогите победить эту тварь.
 
Случилось страшное! Мне довелось увидеть синий экран, наслышав чем грозит эта примета срочно отыскал в зловещей синиве имя srosa.sys. и побледнел припоминая слухи о проблемах с этим червячком. Скачал Cureit,HijackThis, и AVZ. Что делать дальше??
Безопасный режим конечно же не грузится.( А в обычном режиме Curiet,Hijack не устанавливаются,AVZ не распаковывается!!
Может я конечно паникую,но скажите чем грозит эта червятина,насколько опасно для системы и компа в целом. Если не удастся вылечить поможет ли форматирование?

akok 11-07-2008 09:58 848503
Скачайте специальную версию AVZ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.



Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

После перезагрузки выполнить такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
SaveLog(GetAVZDirectory + 'B_d.txt');
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению
B_d.txt и boot_clr_B_d.log

Скачайте обычную версию AVZ

Подготовьте логи.

geniusdream 11-07-2008 14:52 848795
отрыл простенькую прогу ComboFix. Сохраняешь её на рабочий стол (имеено туда!), закрываешь всё, запускаешь - и она там чето в дос-окне пытается искать... Вообщем после перезагрузки выдало мне пару ключей m_hook в реестре и файлик в windows/system32/drivers/srosa.sys - который они видать и запускали...после встал касперский, им прочистил ещё всю систему, нашёл бигл и всё удалил. пока что визуально система пышит здоровьем..

Котяра 11-07-2008 15:07 848809
Цитата:
Цитата geniusdream
отрыл простенькую прогу ComboFix. Сохраняешь её на рабочий стол (имеено туда!), закрываешь всё, запускаешь - и она там чето в дос-окне пытается искать... Вообщем после перезагрузки выдало мне пару ключей m_hook в реестре и файлик в windows/system32/drivers/srosa.sys - который они видать и запускали...после встал касперский, им прочистил ещё всю систему, нашёл бигл и всё удалил. пока что визуально система пышит здоровьем.. »
Ей нужна Консоль восстановления.

geniusdream 11-07-2008 21:01 849114
т.е. консоль восстановления? всмысле чему нужна? ComboFix? мне ещё что то надо сделать?

geniusdream 11-07-2008 21:48 849160
Вложений: 1
вот лог

Vadikan 11-07-2008 23:41 849274
geniusdream, еще раз прочтите сообщение 6 и перейдите по ссылке. Если в след. сообщении не будет логов, тему закрою.


Время: 06:08.

Время: 06:08.
© OSzone.net 2001-