тоже поймал. вот как раз сейчсас занимаюсь удалением. (если вам нужен его генератор в осле качайте Willing WebCam 4.7 )
.прочитал, тут много тем с этим связаными, ничего не помогает.
Подключил диск в ноуту через ///usb адаптер. все пролечил все ок, подключаю к компу диск и нифига все как и раньше, причем и новых траянов накачать успел. так что сеть надо отключать.
опять подключил через USB к ноуту и начал варить волшебное зелье и натягивать бубен. вот что выяснилось
1. сканирование ифицированного диска при помощи аваст
24.12.2009 13:00:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\137750.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\217734.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\218921.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\284562.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\484984.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\562890.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\564109.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\585921.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\654484.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\655375.exe" file.
24.12.2009 13:21:23 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019976.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019977.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019978.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019979.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019980.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019981.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019982.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019983.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019984.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019985.exe" file.
24.12.2009 13:25:14 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP391\A0330643.sys" file.
24.12.2009 13:25:20 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP392\A0330666.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330699.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330703.exe" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330704.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330981.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330982.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331015.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331024.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331025.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331043.sys" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331129.exe" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331130.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331176.sys" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331184.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331185.exe" file.
24.12.2009 13:25:32 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331209.sys" file.
24.12.2009 13:27:47 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\mdelk.exe" file.
24.12.2009 13:33:23 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\WINDOWS\system32\wfsintwq.sys" file.
24.12.2009 13:33:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\wintems.exe" file.
2. выходи что удалять эти
"F:\WINDOWS\mdelk.exe" file.
"F:\WINDOWS\system32\wfsintwq.sys" file.
"F:\WINDOWS\wintems.exe" file.
файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи) необходимо сканорование и удаление при помощи LiveCD или другой комп.
3.Вычислил что в папке C:\Documents and Settings\(тут имя пользователя под которым был выполнен вход в систему в время заражения)\Application Data\drivers (удалил ее полностью т.к она нафиг не нужна) именно в ней в корне этой папки лежит исходный скрипт вируса. есть еще одна подпапка, в ней накачаные драйвера якобы для восстановления. В общем удалил папку drivers.
теперь проверяю диск еще раз с помощью CureIT для пущей уверености
после подключения к компу отпишусь если интересно.
Последний раз редактировалось luj; 24.12.2009 в 12:36.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ура ура ура.
пока качался касперский кое что сделал.
1. запустил msconfig и выбрал диагностический запуск, перегрузил машину
2. запустил msconfig и в автозагрузке отключил wintems и winpugo, перегрулил машинцу
3. просканировал CureIT с:\windows вирусы удалил.
4. запустился rootkit Unhooker v 3.7 прибил процесс wintems и сделал wipe file для wfsintwq.sys и srosa2.sys
4.1 msconfig - обычная загрузка системы. перезапуск.
5. на другом компьютере создал на флэшке две папки для AVZ и Combоfix(заранее переименовал в Combо--fix) , для обеих папок задал атрибуты только чтение.
6. подключил флэшку к заражонному компу. и combоfix запустился. сканирование заняло минут 15-20
7. теперь и AVZ стартует. выполнил скрипты AVZ полное восстановление системы
кроме восстановления SIP и сделал отчеты.
8. перезаргузка, установилось антивирусное ПО Аваст.
дальше поглядим
С Наступающим.
Последний раз редактировалось luj; 25.12.2009 в 06:47.
DNS монитор - да, ничего страшного он для тестов ставился и им не пользовался.
базы AVZ - не был подключен к сети в это время.
с проблеммой решено окончательно. а вот система требует вмешательств. некоторые параметры изменились:
1. доступ по сети обязательно требует указать имя - хотябы гость.
2. нет настройки беспроводных сетй, якобы установленно сторонее программное обеспечение которое это поддерживает - на самом деле только дрова для DWL-g132
3. Лецензионная винда, обновились по правилам. не ставил тока SP3, после лечения занова устанавливались все обновления, причем WINDOWS ADWANTAGE сказал ОШИБКА и отказ в усстановке. хотя никаких проблемм с лицензированием и винда работает не ругается.
в общем , если компьютер только офисный, а не так как у меня наставленно кучу всякого софта и для работы и для развлечений, то никаких последствий бы небыло, а вот с доп устройсвами -дрова приходится подправлять по мере требований, но после переустановки все работает нормально.
в принципе все в норме, все это мелочи и все со временем отсроится, хотя конечно неприятно.
Я ведь и этот файл то хотел запустить без антивируса намерено - в общем сам прозевал, ГыГ. поймал секс на 2-е суток с компом. Полезная практика. Наверное стоит песочницу испытать Касперского
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: