Junior Member
Вес репутации
60
Симптомы: Периодически наступает синий экран смерти, после чего винда предлагает послать отчет об ошибке, и на сайте мелкософта высвечивается:
Virus alert: Microsoft detected the WinNT / Bagle.gen virus on your computer
This problem was caused by WinNT / Bagle.gen, a known computer virus.
WinNT / Bagle.gen is also known by the following names:
Win32/Ursnif Trojan-Downloader.Win32.Bagle.cu W32.Beagle.GM Troj/BagleDl-DB Troj/Bagle-TH A solution is available that will solve this problem.
В задачах висит процесс: wintems.exe , но файла такого на диске C: нету. Help please!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\FIREPL~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\wbsys.dll','');
QuarantineFile('c:\windows\system32\wintems.exe','');
QuarantineFile('c:\windows\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\hldrrr.exe','');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
BC_DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\svchost.exe');
BC_DeleteFile('c:\windows\svchost.exe');
DeleteFile('c:\windows\system32\wintems.exe');
BC_DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteService('svchost');
DelBHO('D103E85B-5D67-42c1-8C83-F01079DBAB26');
DelBHO('A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC');
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('2670000A-7350-4f3c-8081-5663EE0C6C49');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Последний раз редактировалось Макcим; 09.01.2008 в 14:19 .
Junior Member
Вес репутации
60
Во время выполнения скрипта вылетел BSOD (вроде в самом конце, но я не уверен). wintems.exe все еще сидит в процессах.
Последний раз редактировалось capitanclaw; 09.01.2008 в 04:51 .
1. Скачайте последнюю версию AVZ - 4.29 и обновите ее базы.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Обновить не удаётся:
Попробуйте выполнить скрипт ещё раз, я внес в него некоторые правки.
Junior Member
Вес репутации
60
Следующие результаты:
Проведена ещё одна оптимизация. Выполняйте скрипт.
Junior Member
Вес репутации
60
Скрипт выполнился без ошибок :-)
В защищенный режим, к сожалению не входит - перезагрузка после мигающий "_"
Подольше подождать не пробовали (скажем минут 10-15)?
I am not young enough to know everything...
Junior Member
Вес репутации
60
Подольше подождать не пробовали (скажем минут 10-15)?
В Safe mode работа chkdsk на экран не выводится...
А он не зависает, а сразу перезагружается.wintems.exe было во время процедур.
пофиксите ..
Код:
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wbsys.dll','');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
60
Логи. Комментарий уж боюсь давать
скачать ...
Последний раз редактировалось V_Bond; 09.01.2008 в 20:34 .
Junior Member
Вес репутации
60
Сообщение от
V_Bond
Пока что не качает, стоит ли ждать доступности ссылки или есть альтернатива?
Junior Member
Вес репутации
60
Скачалось. Сделал по инструкции. Скрипт завершился нормально.
Backdoor.Win32.Delf.afu c:\windows\svchost.exeTrojan-Downloader.Win32.Bagle.hi c:\windows\system32\drivers\hldrrr.exeTrojan-Downloader.Win32.Bagle.ho c:\windows\system32\wintems.exe
Код:
begin
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','srosa');
TerminateProcessByName('c:\windows\system32\wintems.exe');
TerminateProcessByName('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportDeletedList;
BC_DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
BC_DeleteFile('c:\windows\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
virusinfo_syscheck опять повторить...
Последний раз редактировалось Макcим; 09.01.2008 в 23:33 .
Причина: Поправил скрипт
Junior Member
Вес репутации
60
Вот оно.
Последний раз редактировалось capitanclaw; 09.01.2008 в 22:47 .
Хм... что-то ничего не удаляется... попробуйте выполнить совет в посте №14 в безопасном режиме, затем мой скрипт (тоже в безопасном)
Подозрение на Trojan-Downloader.Win32.Bagle.aj
. Восстановление системы выключено, соединение с интернетом было во время процедур. 
Сообщение от V_Bond
