Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам

Ответить
Настройки темы
Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам

Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


1. Началось все после перезарузки. Перезагрузка не была принудительной, я сам перезагрузил, вручную. Касперский при этом работал, ничего подозрительного вроде бы не было. После запуска вырубилось сетевое соединение и перестал запускаться интернет (домашняя сеть через PPPoE). Что стало с Касперским к сожалению тогда не обратил внимание.

Перезагрузил еще раз.

2. Интернет стал работать, но я уже увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32".

3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой

Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление самыми разными способами ветки реестра про безопасный режим ни к чему не приводит. Только что восстановленная ветка удаляется автоматически прямо на глазах через пару секунд (наблюдается в регедите). Загружался с Hirens'Boot CD, восстанавливал ветку - один фиг, в сейф мод не входит, а потом уже в винде смотрю - ветки нет. Восстановление системы выключено, я его вообще никогда не включаю.

Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять.

Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis

4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет.

5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Win32.HLLM.Beagle в winterms.exe и mdelk.exe, удалил. Толку нет, все тоже самое, вирусняк остался. Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему). Он нашел Win32.Bagle.of в нескольких файлах. Все удалил, перезагрузился - толку нет.

Посоветуйте пожалуйста что делать? Второй день долбаюсь, завтра уже рабочий неделя, работать надо а на компе эта хрень

P.S. Сейчас записал образ с касперского rescue диск, буду с него грузиться и прогоню еще раз все файло.

Отправлено: 10:38, 17-01-2010

 

Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5674
Благодарности: 1104

Профиль | Отправить PM | Цитировать


Выложите логи в соответствии с этими инструкциями.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 12:59, 17-01-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата iskander-k:
Выложите логи в соответствии с этими инструкциями. »
Так я бы с удовольствием, но ни одна программа у меня не инсталлируется и не запускается

Цитата bankomat:
Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. »
Никакие варианты не проходят.

Отправлено: 14:12, 17-01-2010 | #3


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Что же делать?

Отправлено: 14:50, 17-01-2010 | #4


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1392

Профиль | Сайт | Отправить PM | Цитировать


Цитата bankomat:
Потом загрузился с Hiren's Boot CD в режиме мини XP и прогнал имеющимся на диске стареньким AVPTool (по-моему) »
Нужно бы обновить утилиту и заново просканировать загрузившись с этого диска.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 16:06, 17-01-2010 | #5


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Drongo:
Нужно бы обновить утилиту и заново просканировать загрузившись с этого диска. »
К сожалению, режим мини XP, который на этом диске можно запустить не имеет каких-то библиотек, которые требует обновленная утилита

Я сейчас пробую с него загрузится и с него прогнать AVZ и выложить сюда логи.

Отправлено: 16:26, 17-01-2010 | #6


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Удалось запустить полиморфный AVZ с ключами AG=Y AM=Y

Сейчас сканирует. Только вот AVZPM не запустился, AVZ в своем логе написал, что ошибка С000009A

Отправлено: 17:12, 17-01-2010 | #7


Новый участник


Сообщения: 6
Благодарности: 3

Профиль | Отправить PM | Цитировать


Выполните скрипт в avz
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
ПК перезагрузится.

Сделайте новые логи.
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:44, 17-01-2010 | #8


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Обновить базы AVZ не удалось потому что соответствующий пункт меню неактивный. И вот еще выдал ошибку "Ошибка AVZ Guard: C000009A".

Тем не менее, вроде бы удалось все просканировать по инструкции. Вот первые логи.

snifer67 Спасибо, сейчас буду выполнять данный скрипт.

Отправлено: 17:59, 17-01-2010 | #9


Новый участник


Сообщения: 6
Благодарности: 3

Профиль | Отправить PM | Цитировать


Делайте логи после моего скрипта.

Отправлено: 18:25, 17-01-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не получается вычистить трояны Beagle, Bagle не дает работать антивирусам

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Какому рейтингу по антивирусам можно доверять? ITSpec Хочу все знать 6 17-12-2009 15:10
Не могу избавиться от Win32.HLLM.Beagle sapfeer Лечение систем от вредоносных программ 19 29-11-2009 20:00
Не могу справитьсмя с Win32.HLLM.Beagle seezamm Лечение систем от вредоносных программ 3 21-10-2008 08:56
[решено] не получается работать с Office Shrinker Denchik Автоматическая установка приложений 3 07-05-2006 01:47




 
Переход