Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам (http://forum.oszone.net/showthread.php?t=163750)

bankomat 17-01-2010 10:38 1322378
Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам
 
1. Началось все после перезарузки. Перезагрузка не была принудительной, я сам перезагрузил, вручную. Касперский при этом работал, ничего подозрительного вроде бы не было. После запуска вырубилось сетевое соединение и перестал запускаться интернет (домашняя сеть через PPPoE). Что стало с Касперским к сожалению тогда не обратил внимание.

Перезагрузил еще раз.

2. Интернет стал работать, но я уже увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32".

3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой :(

Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление самыми разными способами ветки реестра про безопасный режим ни к чему не приводит. Только что восстановленная ветка удаляется автоматически прямо на глазах через пару секунд (наблюдается в регедите). Загружался с Hirens'Boot CD, восстанавливал ветку - один фиг, в сейф мод не входит, а потом уже в винде смотрю - ветки нет. Восстановление системы выключено, я его вообще никогда не включаю.

Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять.

Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis

4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет.

5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Win32.HLLM.Beagle в winterms.exe и mdelk.exe, удалил. Толку нет, все тоже самое, вирусняк остался. Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему). Он нашел Win32.Bagle.of в нескольких файлах. Все удалил, перезагрузился - толку нет.

Посоветуйте пожалуйста что делать? Второй день долбаюсь, завтра уже рабочий неделя, работать надо а на компе эта хрень :(

P.S. Сейчас записал образ с касперского rescue диск, буду с него грузиться и прогоню еще раз все файло.

iskander-k 17-01-2010 12:59 1322490
Выложите логи в соответствии с этими инструкциями.

bankomat 17-01-2010 14:12 1322566
Цитата:
Цитата iskander-k
Выложите логи в соответствии с этими инструкциями. »
Так я бы с удовольствием, но ни одна программа у меня не инсталлируется и не запускается :(

Цитата:
Цитата bankomat
Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. »
Никакие варианты не проходят.

bankomat 17-01-2010 14:50 1322602
Что же делать?

Drongo 17-01-2010 16:06 1322664
Цитата:
Цитата bankomat
Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему) »
Нужно бы обновить утилиту и заново просканировать загрузившись с этого диска.

bankomat 17-01-2010 16:26 1322686
Цитата:
Цитата Drongo
Нужно бы обновить утилиту и заново просканировать загрузившись с этого диска. »
К сожалению, режим мини XP, который на этом диске можно запустить не имеет каких-то библиотек, которые требует обновленная утилита :(

Я сейчас пробую с него загрузится и с него прогнать AVZ и выложить сюда логи.

bankomat 17-01-2010 17:12 1322739
Удалось запустить полиморфный AVZ с ключами AG=Y AM=Y

Сейчас сканирует. Только вот AVZPM не запустился, AVZ в своем логе написал, что ошибка С000009A

snifer67 17-01-2010 17:44 1322775
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
ПК перезагрузится.

Сделайте новые логи.

bankomat 17-01-2010 17:59 1322795
Обновить базы AVZ не удалось потому что соответствующий пункт меню неактивный. И вот еще выдал ошибку "Ошибка AVZ Guard: C000009A".

Тем не менее, вроде бы удалось все просканировать по инструкции. Вот первые логи.

snifer67 Спасибо, сейчас буду выполнять данный скрипт.

snifer67 17-01-2010 18:25 1322815
Делайте логи после моего скрипта.

bankomat 17-01-2010 18:36 1322823
Цитата:
Цитата snifer67
Делайте логи после моего скрипта. »
Готово.

snifer67 17-01-2010 18:50 1322831
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\alex\application data\m\flec006.exe','');
 QuarantineFile('C:\WINDOWS\System32\wmdmpmsvc.dll','');
 QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
 QuarantineFile('c:\documents and settings\alex\application data\drivers\winupgro.exe','');
 TerminateProcessByName('c:\documents and settings\alex\application data\drivers\winupgro.exe');
 QuarantineFile('c:\windows\wintems.exe','');
 TerminateProcessByName('c:\windows\wintems.exe');
 DeleteFile('c:\windows\wintems.exe');
 DeleteFile('c:\documents and settings\alex\application data\drivers\winupgro.exe');
 DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
 DeleteFile('C:\WINDOWS\System32\wmdmpmsvc.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
 DeleteFile('c:\documents and settings\alex\application data\m\flec006.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на cherep12312345@mail.ru

Сделайте новые логи(обычным avz).

bankomat 17-01-2010 19:22 1322861
snifer67 - спасибо! Уже делаю логи. Судя по всему постепенно освобождается, так как обычный AVZ действительно стал работать нормально.

Только небольшой вопрос, поймите меня правильно, только мыло какое-то странное cherep12312345@mail.ru ? А насколько я знаю, карантины надо антивирусникам отправлять?

Drongo 17-01-2010 19:24 1322865
bankomat, Это хелперская электронная почта участника, который вам помогает.

bankomat 17-01-2010 19:28 1322871
Цитата:
Цитата Drongo
bankomat, Это хелперская электронная почта участника, который вам помогает. »
Ок, понял. Извиняюсь, еще раз, за излишние подозрения. Тут с этими вирусами совсем параноиком станешь :)

bankomat 17-01-2010 19:57 1322905
Все сделал, карантин отправил. Новые логи снял уже с обычного AVZ (базы обновил).

snifer67 17-01-2010 20:17 1322927
Выполните скрипт в avz
Код:
begin
ExecuteRepair(13);
RebootWindows(true);
end.
ПК перезагрузится.

Просканируйтесь http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

bankomat 17-01-2010 20:49 1322957
Цитата:
Цитата snifer67
Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. »
Огромное спасибо за своевременную и бескорыстную помощь всем хелперам OSzone.net и большая благодарность персонально - snifer67у!

Я докачиваю понемногу последнего Касперского, поставлю его вместо снесенного вирусами старого, обновлю базы и полностью просканирую все диски уже им.

Как скан закончится, сделаю лог от AVZ (отличная программка) и выложу сюда.

Еще раз - спасибо.

bankomat 18-01-2010 13:46 1323399
Нового Касперского поставил, обновил, провел полное сканирование. Нашел и вылечил массу файлов. Вирусы и трояны в основном эти:

Trojan-Downloader.Win32.Bagle.avs
rojan-Downloader.Win32.Bagle.cez
Trojan-PSW.Win32.Agent.opl
Email-Worm.Win32.Bagle.of

Сканирование AVZ - провел, вот лог.

Drongo 18-01-2010 14:30 1323442
bankomat, Вот такой скрипт выполните

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\PROGRAMS\PROCESS\PROCEXP.EXE','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

bankomat 18-01-2010 18:08 1323620
Цитата:
Цитата Drongo
bankomat, Вот такой скрипт выполните »
А это (D:\PROGRAMS\PROCESS\PROCEXP.EXE) у меня просто нестандартный эксплорер процессов такой :)

Вот отсюда
http://technet.microsoft.com/ru-ru/s.../bb896653.aspx

На всякий случай сейчас прогнал его через http://www.virustotal.com/ru/ и он сказал, что этот файл уже знает :) , что с ним все в порядке.

Drongo 19-01-2010 10:40 1324075
bankomat, Попробуйте просканируйте ещё этой утилитой

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

bankomat 19-01-2010 14:18 1324279
Цитата:
Цитата Drongo
bankomat, Попробуйте просканируйте ещё этой утилитой »
Ок, понял спасибо. Поставлю в ночь.

Вот еще что заметил. XP не обновляется полностью. Обновления скачались, один из пакетов установился, а второй - нет, никак не хочет.

Вот этот.

Обновление для системы безопасности Windows XP (KB972270)

http://www.microsoft.com/technet/sec.../MS10-001.mspx

Не знаете, это из-за того, что вирусы могли что-то попортить? И теперь никак не починить или хотя бы отказаться от этого обновления, а то висит постоянно :(

bankomat 19-01-2010 20:57 1324606
Вложений: 1
Готово. Вот отчет.

Но оба файла, которые эта утилитка удалила вроде бы безопасные. Один - мой батник, через которого я AVZ запускал, а второй - какой-то лог текстовый из касперского. :)

Drongo 20-01-2010 15:06 1325148
bankomat, В логе ничего страшного нет. Проблема так и не решилась?

bankomat 20-01-2010 18:04 1325293
Цитата:
Цитата Drongo
bankomat, В логе ничего страшного нет. Проблема так и не решилась? »
Нет, к сожалению нет. Висит в трее. Нажимаю - скачать, тут же пишет - готово. Нажимаю - установить, пишет - не получилось. И так по кругу.

Зато я прямо сейчас сообразил, как это дело убрать. Галочку снял и подтвердил, что больше не напоминать об этом пакете. Надеюсь что без него как-нибудь проживу, или следующим обновлением получится закрыть.


Время: 22:57.

Время: 22:57.
© OSzone.net 2001-