Показано с 1 по 20 из 20.

wintems.exe (заявка № 33301)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    Thumbs up wintems.exe

    Добрый день!

    Вирус просочился при работающем bitdefender-e.
    Блокирует или закрывает через несколько секунд cureit, avp, avz, hijackthis. стабильно работает только avz с расширением pif.

    safe mode не загружается - синий экран.
    Пожалуйста помогите вылечить.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    evrika.pif - AVZ?

    AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mstask.dll','');
     QuarantineFile('c:\windows\system32\drivers\downld\460734.exe','');
     QuarantineFile('C:\WINDOWS\system32\txmlutil.dll','');
     QuarantineFile('c:\windows\system32\wintems.exe','');
     QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
     QuarantineFile('c:\windows\system32\hotfixq0306270.exe','');
     QuarantineFile('c:\documents and settings\admin\application data\m\flec006.exe','');
     DeleteFile('c:\documents and settings\admin\application data\m\flec006.exe');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('c:\windows\system32\wintems.exe');
     DeleteFile('c:\windows\system32\drivers\downld\460734.exe');
     BC_ImportALL;
     BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     BC_DeleteSvc('Winpy11');
     BC_DeleteSvc('is-HCRCOdrv');
     BC_DeleteSvc('Megadrv3');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.

    После перезагрузки пришлите карантин в соответствии с правилами и повторите логи.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  4. #3
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    готово

    Спасибо за скрипт, выполнил. Hijack не запускается даже переименованный
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    hijack ,log

    После еще одной перезагрузки запустился.
    и eureka.piv - это avz
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт 2 раза (2-ой раз после перезагрузки):
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     QuarantineFile('E:\Program Files\QIP\qip.exe','');
     QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\HotFixQ0306270.exe','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     QuarantineFile('C:\WINDOWS\PixArt\PAC7311\Monitor.exe','');
     QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
     QuarantineFile('C:\Program Files\Skype\Phone\Skype.exe','');
     QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
     QuarantineFile('C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe','');
     QuarantineFile('C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe','');
     QuarantineFile('C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ + новые логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57
    Логи прилагаю, карантин размером 84 мегабайта - высылать?
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скрипт из поста выполнялся 2 раза ?
    карантин отсылать ...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Почему такой большой карантин? Очистите всю папку карантина, потом выполните скрипт еще раз. Карантин потом должен быть не такой большой.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57
    да, в сжатом состоянии это 17 мб. отослал.

    Добавлено через 31 минуту

    скрипт выполнял 2 раза и соотв, 2 перезагрузки
    Последний раз редактировалось bujuice; 06.11.2008 в 00:15. Причина: Добавлено

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Вы забыли вот эту просьбу:

    прикрепите логи: B_d.txt и boot_clr_B_d.log из папки AVZ
    Добавьте упомянутые логи, если не сложно. Вредоносное ПО не хочет умирать, нам нужно понять, почему.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  12. #11
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    упс...

    забыл, прилагаю:
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нужно карантин смотреть, но увы с моей скоростью это очень долго, скорее всего подменены файлы в Run...

  14. #13
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    вот список файлов карантина

    Изображения Изображения
    • Тип файла: jpg q.JPG (232.5 Кб, 55 просмотров)

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Выполните скрипт:

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
     QuarantineFile('C:\WINDOWS\system32\cleanmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\HotFixQ0306270.exe','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     QuarantineFile('C:\WINDOWS\System32\wscript.exe','');
     QuarantineFile('C:\WINDOWS\System32\cscript.exe','');
     QuarantineFile('C:\WINDOWS\PixArt\PAC7311\Monitor.exe','');
     QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
     QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
     QuarantineFile('C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe','');
    end.
    Загрузите карантин...

  16. #15
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57
    Сделано

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    ps.exe-Trojan-Downloader.Win32.Bagle.aff

    Выполнит скрипт 2 раза!

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('C:\Program Files\Punto Switcher\ps.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Повторите логи...

  18. #17
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57

    вылечил

    похоже все чисто - прошелся cure-it, затем avz:
    Вложения Вложения

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Да, на этот раз зачистилось успешно. Оригинальная идея - замаскировать загрузчик под Punto Switcher.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Да, на этот раз зачистилось успешно. Оригинальная идея - замаскировать загрузчик под Punto Switcher.
    Идея состоит не в конкретной подмене PS, а в том, что данный червь проверяет в автозапуске то, что прописано в ключе Run у пользователя и может подменить любой файл, прописанный в этом ключе автозапуска, своим зловредным файлом. Оригинальный файл при этом удаляется.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  21. #20
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    10
    Вес репутации
    57
    Спасибо за исцеление компа!

  • Уважаемый(ая) bujuice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. wintems - BeagleAHD (AAW)
      От luj в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.12.2009, 21:20
    2. Помогите удалить wintems.exe
      От Dj Robert в разделе Помогите!
      Ответов: 42
      Последнее сообщение: 22.02.2009, 04:27
    3. wintems.exe + mdelk.exe
      От Rosso в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 06.03.2008, 01:21
    4. wintems.exe
      От alnairlindalwe в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 04.03.2008, 17:42
    5. wintems.exe -то это за зверь?wintems.exe
      От Alari в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.02.2008, 13:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01117 seconds with 20 queries