![]() |
Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам
1. Началось все после перезарузки. Перезагрузка не была принудительной, я сам перезагрузил, вручную. Касперский при этом работал, ничего подозрительного вроде бы не было. После запуска вырубилось сетевое соединение и перестал запускаться интернет (домашняя сеть через PPPoE). Что стало с Касперским к сожалению тогда не обратил внимание.
Перезагрузил еще раз. 2. Интернет стал работать, но я уже увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32". 3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой :( Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление самыми разными способами ветки реестра про безопасный режим ни к чему не приводит. Только что восстановленная ветка удаляется автоматически прямо на глазах через пару секунд (наблюдается в регедите). Загружался с Hirens'Boot CD, восстанавливал ветку - один фиг, в сейф мод не входит, а потом уже в винде смотрю - ветки нет. Восстановление системы выключено, я его вообще никогда не включаю. Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis 4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет. 5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Win32.HLLM.Beagle в winterms.exe и mdelk.exe, удалил. Толку нет, все тоже самое, вирусняк остался. Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему). Он нашел Win32.Bagle.of в нескольких файлах. Все удалил, перезагрузился - толку нет. Посоветуйте пожалуйста что делать? Второй день долбаюсь, завтра уже рабочий неделя, работать надо а на компе эта хрень :( P.S. Сейчас записал образ с касперского rescue диск, буду с него грузиться и прогоню еще раз все файло. |
Выложите логи в соответствии с этими инструкциями.
|
Цитата:
Цитата:
|
Что же делать?
|
Цитата:
|
Цитата:
Я сейчас пробую с него загрузится и с него прогнать AVZ и выложить сюда логи. |
Удалось запустить полиморфный AVZ с ключами AG=Y AM=Y
Сейчас сканирует. Только вот AVZPM не запустился, AVZ в своем логе написал, что ошибка С000009A |
Выполните скрипт в avz
Код:
begin Сделайте новые логи. |
Обновить базы AVZ не удалось потому что соответствующий пункт меню неактивный. И вот еще выдал ошибку "Ошибка AVZ Guard: C000009A".
Тем не менее, вроде бы удалось все просканировать по инструкции. Вот первые логи. snifer67 Спасибо, сейчас буду выполнять данный скрипт. |
Делайте логи после моего скрипта.
|
Цитата:
|
Выполните скрипт в avz
Код:
begin Выполнить скрипт в AVZ. Код:
begin Сделайте новые логи(обычным avz). |
snifer67 - спасибо! Уже делаю логи. Судя по всему постепенно освобождается, так как обычный AVZ действительно стал работать нормально.
Только небольшой вопрос, поймите меня правильно, только мыло какое-то странное cherep12312345@mail.ru ? А насколько я знаю, карантины надо антивирусникам отправлять? |
bankomat, Это хелперская электронная почта участника, который вам помогает.
|
Цитата:
|
Все сделал, карантин отправил. Новые логи снял уже с обычного AVZ (базы обновил).
|
Выполните скрипт в avz
Код:
begin Просканируйтесь http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. |
Цитата:
Я докачиваю понемногу последнего Касперского, поставлю его вместо снесенного вирусами старого, обновлю базы и полностью просканирую все диски уже им. Как скан закончится, сделаю лог от AVZ (отличная программка) и выложу сюда. Еще раз - спасибо. |
Нового Касперского поставил, обновил, провел полное сканирование. Нашел и вылечил массу файлов. Вирусы и трояны в основном эти:
Trojan-Downloader.Win32.Bagle.avs rojan-Downloader.Win32.Bagle.cez Trojan-PSW.Win32.Agent.opl Email-Worm.Win32.Bagle.of Сканирование AVZ - провел, вот лог. |
bankomat, Вот такой скрипт выполните
• Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
begin Код:
begin |
Цитата:
Вот отсюда http://technet.microsoft.com/ru-ru/s.../bb896653.aspx На всякий случай сейчас прогнал его через http://www.virustotal.com/ru/ и он сказал, что этот файл уже знает :) , что с ним все в порядке. |
bankomat, Попробуйте просканируйте ещё этой утилитой
• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь. |
Цитата:
Вот еще что заметил. XP не обновляется полностью. Обновления скачались, один из пакетов установился, а второй - нет, никак не хочет. Вот этот. Обновление для системы безопасности Windows XP (KB972270) http://www.microsoft.com/technet/sec.../MS10-001.mspx Не знаете, это из-за того, что вирусы могли что-то попортить? И теперь никак не починить или хотя бы отказаться от этого обновления, а то висит постоянно :( |
Вложений: 1
Готово. Вот отчет.
Но оба файла, которые эта утилитка удалила вроде бы безопасные. Один - мой батник, через которого я AVZ запускал, а второй - какой-то лог текстовый из касперского. :) |
bankomat, В логе ничего страшного нет. Проблема так и не решилась?
|
Цитата:
Зато я прямо сейчас сообразил, как это дело убрать. Галочку снял и подтвердил, что больше не напоминать об этом пакете. Надеюсь что без него как-нибудь проживу, или следующим обновлением получится закрыть. |
Время: 23:20. |
Время: 23:20.
© OSzone.net 2001-