wintems - BeagleAHD (AAW)

[luj]

тоже поймал. вот как раз сейчсас занимаюсь удалением. (если вам нужен его генератор в осле качайте Willing WebCam 4.7 )
.прочитал, тут много тем с этим связаными, ничего не помогает.
Подключил диск в ноуту через ///usb адаптер. все пролечил все ок, подключаю к компу диск и нифига все как и раньше, причем и новых траянов накачать успел. так что сеть надо отключать.
опять подключил через USB к ноуту и начал варить волшебное зелье и натягивать бубен. вот что выяснилось
1. сканирование ифицированного диска при помощи аваст
24.12.2009 13:00:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\137750.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\217734.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\218921.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\284562.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\484984.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\562890.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\564109.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\585921.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\654484.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\655375.exe" file.
24.12.2009 13:21:23 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019976.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019977.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019978.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019979.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019980.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019981.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019982.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019983.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019984.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019985.exe" file.
24.12.2009 13:25:14 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP391\A0330643.sys" file.
24.12.2009 13:25:20 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP392\A0330666.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330699.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330703.exe" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330704.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330981.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330982.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331015.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331024.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331025.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331043.sys" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331129.exe" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331130.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331176.sys" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331184.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331185.exe" file.
24.12.2009 13:25:32 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331209.sys" file.
24.12.2009 13:27:47 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\mdelk.exe" file.
24.12.2009 13:33:23 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\WINDOWS\system32\wfsintwq.sys" file.
24.12.2009 13:33:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\wintems.exe" file.
2. выходи что удалять эти
"F:\WINDOWS\mdelk.exe" file.
"F:\WINDOWS\system32\wfsintwq.sys" file.
"F:\WINDOWS\wintems.exe" file.
файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи) необходимо сканорование и удаление при помощи LiveCD или другой комп.
3.Вычислил что в папке C:\Documents and Settings\(тут имя пользователя под которым был выполнен вход в систему в время заражения)\Application Data\drivers (удалил ее полностью т.к она нафиг не нужна) именно в ней в корне этой папки лежит исходный скрипт вируса. есть еще одна подпапка, в ней накачаные драйвера якобы для восстановления. В общем удалил папку drivers.

теперь проверяю диск еще раз с помощью CureIT для пущей уверености

после подключения к компу отпишусь если интересно.

[DefesT]

файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи)

Восстановление системы не пробовали отключить?
после лечения сделайте логи по правилам

[luj]

Восстановление системы не пробовали отключить?
да, отключил, забыл просто написать.

после лечения сделайте логи по правилам

лечение не вышло
призагрузке системы все становиться на свое место.
ни одна из предложенных программ в правилах не стартут.
танци продолжаются.

запустил утилиту vj16 Power Tools
сразу обнаружил secdrv.sys
Любопытно а этот откуда

ВОТ RUN config системы

[Никита Соловьев]

Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку

[luj]

Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку

ОК! СПАСИБО. пробую. (дел по горло, работать не могу. весь софт и базы на PC, пора делать сервер )

[luj]

ура ура ура.
пока качался касперский кое что сделал.

1. запустил msconfig и выбрал диагностический запуск, перегрузил машину
2. запустил msconfig и в автозагрузке отключил wintems и winpugo, перегрулил машинцу
3. просканировал CureIT с:\windows вирусы удалил.

4. запустился rootkit Unhooker v 3.7 прибил процесс wintems и сделал wipe file для wfsintwq.sys и srosa2.sys
4.1 msconfig - обычная загрузка системы. перезапуск.
5. на другом компьютере создал на флэшке две папки для AVZ и Combоfix(заранее переименовал в Combо--fix) , для обеих папок задал атрибуты только чтение.
6. подключил флэшку к заражонному компу. и combоfix запустился. сканирование заняло минут 15-20
7. теперь и AVZ стартует. выполнил скрипты AVZ полное восстановление системы
кроме восстановления SIP и сделал отчеты.
8. перезаргузка, установилось антивирусное ПО Аваст.

дальше поглядим

С Наступающим.

[luj]

уважаемые
DefesT и Venus Doom.
Нужно ли выложить логи AVZ или combofix?
(после лечения слетел thebat и ActiveDesctop) все восстановилось без проблемм.

[pig]

Логи по правилам.

[luj]

Вот ЛОГИ. на всякий случай добавл combofix, он был запущен первым.

[thyrex]

ComboFix поработал на славу. Даже чуток перестарался. c:\program files\dns\DNS-Monitor или установите заново, или восстановите по такой методике http://virusinfo.info/showpost.php?p=514765&postcount=3

Что с проблемой на данный момент? Базы AVZ почему не обновили перед сбором логов?

[luj]

DNS монитор - да, ничего страшного он для тестов ставился и им не пользовался.
базы AVZ - не был подключен к сети в это время.
с проблеммой решено окончательно. а вот система требует вмешательств. некоторые параметры изменились:
1. доступ по сети обязательно требует указать имя - хотябы гость.
2. нет настройки беспроводных сетй, якобы установленно сторонее программное обеспечение которое это поддерживает - на самом деле только дрова для DWL-g132
3. Лецензионная винда, обновились по правилам. не ставил тока SP3, после лечения занова устанавливались все обновления, причем WINDOWS ADWANTAGE сказал ОШИБКА и отказ в усстановке. хотя никаких проблемм с лицензированием и винда работает не ругается.
в общем , если компьютер только офисный, а не так как у меня наставленно кучу всякого софта и для работы и для развлечений, то никаких последствий бы небыло, а вот с доп устройсвами -дрова приходится подправлять по мере требований, но после переустановки все работает нормально.
в принципе все в норме, все это мелочи и все со временем отсроится, хотя конечно неприятно.
Я ведь и этот файл то хотел запустить без антивируса намерено - в общем сам прозевал, ГыГ. поймал секс на 2-е суток с компом. Полезная практика.
Наверное стоит песочницу испытать Касперского

[thyrex]

Удалите ComboFix