Показано с 1 по 12 из 12.

wintems - BeagleAHD (AAW) (заявка № 64892)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26

    Thumbs up wintems - BeagleAHD (AAW)

    тоже поймал. вот как раз сейчсас занимаюсь удалением. (если вам нужен его генератор в осле качайте Willing WebCam 4.7 )
    .прочитал, тут много тем с этим связаными, ничего не помогает.
    Подключил диск в ноуту через ///usb адаптер. все пролечил все ок, подключаю к компу диск и нифига все как и раньше, причем и новых траянов накачать успел. так что сеть надо отключать.
    опять подключил через USB к ноуту и начал варить волшебное зелье и натягивать бубен. вот что выяснилось
    1. сканирование ифицированного диска при помощи аваст
    24.12.2009 13:00:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\137750.exe" file.
    24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\217734.exe" file.
    24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\218921.exe" file.
    24.12.2009 13:00:42 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\284562.exe" file.
    24.12.2009 13:00:42 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\484984.exe" file.
    24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\562890.exe" file.
    24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\564109.exe" file.
    24.12.2009 13:00:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\585921.exe" file.
    24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\654484.exe" file.
    24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\655375.exe" file.
    24.12.2009 13:21:23 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019976.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019977.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019978.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019979.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019980.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019981.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019982.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019983.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019984.exe" file.
    24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019985.exe" file.
    24.12.2009 13:25:14 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP391\A0330643.sys" file.
    24.12.2009 13:25:20 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP392\A0330666.sys" file.
    24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330699.sys" file.
    24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330703.exe" file.
    24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330704.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330981.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330982.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331015.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331024.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331025.exe" file.
    24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331043.sys" file.
    24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331129.exe" file.
    24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331130.exe" file.
    24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331176.sys" file.
    24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331184.exe" file.
    24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331185.exe" file.
    24.12.2009 13:25:32 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331209.sys" file.
    24.12.2009 13:27:47 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\mdelk.exe" file.
    24.12.2009 13:33:23 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\WINDOWS\system32\wfsintwq.sys" file.
    24.12.2009 13:33:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\wintems.exe" file.
    2. выходи что удалять эти
    "F:\WINDOWS\mdelk.exe" file.
    "F:\WINDOWS\system32\wfsintwq.sys" file.
    "F:\WINDOWS\wintems.exe" file.
    файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи) необходимо сканорование и удаление при помощи LiveCD или другой комп.
    3.Вычислил что в папке C:\Documents and Settings\(тут имя пользователя под которым был выполнен вход в систему в время заражения)\Application Data\drivers (удалил ее полностью т.к она нафиг не нужна) именно в ней в корне этой папки лежит исходный скрипт вируса. есть еще одна подпапка, в ней накачаные драйвера якобы для восстановления. В общем удалил папку drivers.

    теперь проверяю диск еще раз с помощью CureIT для пущей уверености

    после подключения к компу отпишусь если интересно.
    Последний раз редактировалось luj; 24.12.2009 в 12:36.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Цитата Сообщение от luj Посмотреть сообщение
    файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи)
    Восстановление системы не пробовали отключить?
    после лечения сделайте логи по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    Цитата Сообщение от DefesT Посмотреть сообщение
    Восстановление системы не пробовали отключить?
    да, отключил, забыл просто написать.

    после лечения сделайте логи по правилам
    лечение не вышло
    призагрузке системы все становиться на свое место.
    ни одна из предложенных программ в правилах не стартут.
    танци продолжаются.

    запустил утилиту vj16 Power Tools
    сразу обнаружил secdrv.sys
    Любопытно а этот откуда

    ВОТ RUN config системы
    Вложения Вложения
    Последний раз редактировалось luj; 25.12.2009 в 07:02. Причина: упаковал простыню

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку
    ОК! СПАСИБО. пробую. (дел по горло, работать не могу. весь софт и базы на PC, пора делать сервер )

  7. #6
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    ура ура ура.
    пока качался касперский кое что сделал.

    1. запустил msconfig и выбрал диагностический запуск, перегрузил машину
    2. запустил msconfig и в автозагрузке отключил wintems и winpugo, перегрулил машинцу
    3. просканировал CureIT с:\windows вирусы удалил.

    4. запустился rootkit Unhooker v 3.7 прибил процесс wintems и сделал wipe file для wfsintwq.sys и srosa2.sys
    4.1 msconfig - обычная загрузка системы. перезапуск.
    5. на другом компьютере создал на флэшке две папки для AVZ и Combоfix(заранее переименовал в Combо--fix) , для обеих папок задал атрибуты только чтение.
    6. подключил флэшку к заражонному компу. и combоfix запустился. сканирование заняло минут 15-20
    7. теперь и AVZ стартует. выполнил скрипты AVZ полное восстановление системы
    кроме восстановления SIP и сделал отчеты.
    8. перезаргузка, установилось антивирусное ПО Аваст.

    дальше поглядим

    С Наступающим.
    Изображения Изображения
    Последний раз редактировалось luj; 25.12.2009 в 06:47.

  8. #7
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    уважаемые
    DefesT и Venus Doom.
    Нужно ли выложить логи AVZ или combofix?
    (после лечения слетел thebat и ActiveDesctop) все восстановилось без проблемм.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Логи по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    Вот ЛОГИ. на всякий случай добавл combofix, он был запущен первым.
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    ComboFix поработал на славу. Даже чуток перестарался. c:\program files\dns\DNS-Monitor или установите заново, или восстановите по такой методике http://virusinfo.info/showpost.php?p=514765&postcount=3

    Что с проблемой на данный момент? Базы AVZ почему не обновили перед сбором логов?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    8
    Вес репутации
    26
    DNS монитор - да, ничего страшного он для тестов ставился и им не пользовался.
    базы AVZ - не был подключен к сети в это время.
    с проблеммой решено окончательно. а вот система требует вмешательств. некоторые параметры изменились:
    1. доступ по сети обязательно требует указать имя - хотябы гость.
    2. нет настройки беспроводных сетй, якобы установленно сторонее программное обеспечение которое это поддерживает - на самом деле только дрова для DWL-g132
    3. Лецензионная винда, обновились по правилам. не ставил тока SP3, после лечения занова устанавливались все обновления, причем WINDOWS ADWANTAGE сказал ОШИБКА и отказ в усстановке. хотя никаких проблемм с лицензированием и винда работает не ругается.
    в общем , если компьютер только офисный, а не так как у меня наставленно кучу всякого софта и для работы и для развлечений, то никаких последствий бы небыло, а вот с доп устройсвами -дрова приходится подправлять по мере требований, но после переустановки все работает нормально.
    в принципе все в норме, все это мелочи и все со временем отсроится, хотя конечно неприятно.
    Я ведь и этот файл то хотел запустить без антивируса намерено - в общем сам прозевал, ГыГ. поймал секс на 2-е суток с компом. Полезная практика.
    Наверное стоит песочницу испытать Касперского

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) luj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите удалить wintems.exe
      От Dj Robert в разделе Помогите!
      Ответов: 42
      Последнее сообщение: 22.02.2009, 04:27
    2. wintems.exe
      От bujuice в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 07.11.2008, 14:43
    3. wintems.exe + mdelk.exe
      От Rosso в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 06.03.2008, 01:21
    4. wintems.exe
      От alnairlindalwe в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 04.03.2008, 17:42
    5. wintems.exe -то это за зверь?wintems.exe
      От Alari в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.02.2008, 13:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01563 seconds with 23 queries