Не могу справитьсмя с Win32.HLLM.Beagle - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Не могу справитьсмя с Win32.HLLM.Beagle (http://forum.oszone.net/showthread.php?t=120308)

Не могу справитьсмя с Win32.HLLM.Beagle

1. Скачал хакнутую программу. Проверил её на вирусы - McAffe. Он ничего не увидел.
2. Запустил. - Сначало вышибло McAffe, затем машина ушла на перезагрузку.
Имеем - машина не грузится ни в обычном режиме, ни в защищенном - уходит на перезагрузку.
В обычном режиме появляется синий экран со ссылкой на ошибку в srosa.sys
3. Зашел с загрузочной флешки - WinPE.
Запустил CureIt - нашел Win32.HLLM.Beagle (в файле лог CureIt -a). Там еще вирусы в карантине - это предыдущие траблы.
4. Сейчас вирусов не находит ни AVZ ни CureIt, но машина так и не загружается. Проблемы в Реестре.
5. Пытался вычистить руками - не помогло. Проблемы в файле system.
Убил ссылки на файл srosa. Машина загрузилась. Но судя по всему я нашел не всё, так как она снова зависла - поворчала и ушла в перезагрузку. Теперь то же, только вид сбоку - уходит на перезагрузку только без синего экрана.

Читал пост от 11.07.08 "Beagle! Друзья,помогите победить эту тварь." - не могу понять следующее - т.к. я загружаюсь с WinPE, то если я запущу скрипт в AVZ, то он будет лечить реестр PE, а не нерабочей системы.

В общем нужна помощь. Чем победить эту тварь.

seezamm,
Способ 1. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('%System32%\drivers\hldrrr.exe');

 DeleteFile('%System32%\drivers\srosa.sys');

 DeleteFile('%System32%\wintems.exe');

 DeleteFile('%System32%\drivers\mdelk.exe');

 DeleteFile('%System32%\mdelk.exe');

BC_ImportALL;

ExecuteSysClean;

If DirectoryExists('%System32%\drivers\down') then

begin

DeleteFileMask('%System32%\drivers\down', '*.*', true);

DeleteDirectory('%System32%\drivers\down');

If DirectoryExists('%System32%\drivers\down') then

AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');

end

 else

AddToLog('Папки down нет');

If DirectoryExists('%System32%\drivers\downld') then

begin

DeleteFileMask('%System32%\drivers\downld', '*.*', true);

DeleteDirectory('%System32%\drivers\downld');

If DirectoryExists('%System32%\drivers\downld') then

AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');

end

 else

AddToLog('Папки downld нет');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 

begin

AddToLog('Обнаружен параметр в реестре drvsyskit');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 

AddToLog('Ошибка удаления параметра drvsyskit') else

AddToLog('Параметр drvsyskit успешно удален');

end; 

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 

begin

AddToLog('Обнаружен параметр в реестре german.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 

AddToLog('Ошибка удаления параметра german.exe') else

AddToLog('Параметр german.exe успешно удален');

end; 

if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then

begin

AddToLog('Найден ключ реестра FirstRRRun');

RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');

If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then

AddToLog('Ошибка удаления ключа реестра FirstRRRun') else

AddToLog('ключ реестра FirstRRRun успешно удален');

end;

BC_DeleteSvc('srosa');

BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');

If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 

SaveLog(GetAVZDirectory + 'B_d.txt');

RebootWindows(true);

end.

Логи будут сохранены: B_d.txt и boot_clr_B_d.log в папке AVZ - приложите их

Способ 2. Скачайте Avenger, сохраните на рабочий стол, распакуйте и переименуйте в avng.exe, Если возможно, загрузитесь в безопасном режиме, запустите Avenger, поставьте галочки "Scan for rootkits" и "Automatically disable any rootkits found", скопируйте текст ниже в окно выполнения скрипта

Код:

Drivers to delete:

srosa



Files to delete:

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\mdelk.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\hidr.exe



Folders to delete:

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\system32\drivers\downld

Нажмите "Execute", после перезагрузки откроется лог, вложите его в след. сообщение.
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол как Combo-Fix.exe
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку Combo-Fix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите Combo-Fix.exe, когда процесс завершится запакуйте C:\Combo-Fix.txt и прикрепите к сообщению

И сделайте пожалуйста логи по правилам

Спасибо Pili! Все ОК!

Чтобы система начала загружаться пришлось, используя загрузочный диск:
1. Ручками удалить hldrrr.exe и srosa.sys
2. Удалить в реестре ключи с srosa (файл system)

Затем я попал в систему, выполнил скрипты, восстановил загрузку (скрипт) в защищённом режиме.
Запустил ComboFix.

Логи прилагаю.

seezamm, не выложили файлы boot_clr_B_d.log и virusinfo_syscure.zip
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\System32\Suchspur.dll','');

 QuarantineFile('C:\PROGRA~1\Magix\SAMPLI~1\vorbisenc.dll','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\rrwd0001.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\rrau0001.sys','');

 DeleteFile('C:\WINDOWS\System32\Suchspur.dll');

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Обновите Java Runtime Environment (JRE)
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Цитата:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Установите SP2 со всеми обновлениями или SP3!
Сделайте новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis, выложите доп. boot_clr_B_d.log