Trojan-Downloader.Win32.Bagle.aj

Printable View

07.02.2008, 01:23
Flock

Вложений: 3

Trojan-Downloader.Win32.Bagle.aj

Здравствуйте.

Моя проблема практически идентична автору топика [URL="http://virusinfo.info/showthread.php?t=17518"]Вирус - процесс wintems.exe[/URL].
1. Когда заразился, антивирус Kaspersky Anti-Virus 7.0 и фаервол Outpost Firewal 4.0 вырубились.
При попытке их включения выскакивает надпись "... .exe не является приложением win32".
2. В списке процессов появился wintems.exe.
3. При попытке загрузиться в безопасном режиме выскакивает синий экран смерти.
4. Не могу подключиться к интернету (сейчас я пишу с другой машины). Модем настроен на роутер, при указании в сетевых подключениях основного шлюза - пишется, что сетевой кабель не подключен; если убрать адрес основного шлюза - кабель подключается.

Что было сделано.
- с помощью консоли восстановления удалил следующие файлы:
[B]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

[/B]- выполнил шаги 3-14 правил;

- по рекомендации [URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=115851"]вирусного справочника[/URL] удалил из реестра следующие ключи:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"german.exe" = "C:\WINDOWS\system32\wintems.exe"
"drvsyskit" = "C:\WINDOWS\system32\drivers\hldrrr.exe"

[HKCU\Software\DateTime4]
uid = "39824297"
port = "2b03"
wdrn = "1"

Удалял так, в ручную, не из под безопасного режима.

- [URL="http://dnl-eu5.kaspersky-labs.com/devbuilds/AVPTool/"]скачал[/URL] и установил setup_7.0.0.180_06.02.2008_20-03.exe
Машину так и не смог проверить на вирусы - либо AVPTool зависала, либо повисев в процессах секунд 20 - вываливалась. :\

Помогите пожалуйста. :?
07.02.2008, 01:55
Numb

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('srosa', 4);
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\Program Files\wclock32v271\WCLOCK32.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\M1000KNT.sys','');
QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=17666[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и повторите логи, начиная с п. 10 правил. В дополнение: скачайте утилиту [url=ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe]Cureit![/url] и выполните полную проверку системы. Внимание! При старте утилита Cureit! предлагает выполнить экспресс-проверку, по окончании которой вы сами должны отметить пункт "Полная проверка" и нажать кнопку "Выполнить".
07.02.2008, 03:07
Flock

Спасибо, буду пробовать.)
Да, забыл добавить, что восстановление системы я еще не включал. И не планирую включать до завершения всех проверок и лечилок.

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

[B]2Numb[/B]
Карантин сделал и закачал:

[code]Файл сохранён как 080206_180221_virus_47aa4a8d068bd.zip
Размер файла 54856
MD5 0bcf76bcb8e9aed830bbf6f1e78b3ead[/code]

Пошел делать логи и проверяться курейтом.
07.02.2008, 03:30
Flock

Вложений: 2

Вот и логи.
07.02.2008, 03:48
Bratez

Больше ничего "интересного" в логах не видно.
Вот эти строчки можно пофиксить для порядка:
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
[/code]
Какие-то проблемы остались?
07.02.2008, 03:57
Flock

[B]2Bratez[/B]

Сейчас делаю полную проверку Cureit!, а это уже до завтрашнего дня, потом сделаю фикс, предложенный Вами. Да и спать уже пора. :)

А потом уже буду проверять, смогу ли запустить антивирь с фаерволом и смогу ли загрузиться в безопасном режиме. Эх.. :(
07.02.2008, 09:05
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ для восстановления безопасного режима[CODE]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/CODE]
07.02.2008, 15:28
Flock

Вложений: 1

На вирусы проверился. Вот что нашлось (см. приложение).

Что такое pIRC.exe - я знаю. А вот adiras.exe - без понятия (похоже, какая-то звонилка).
Собстно, что делать с adiras.exe ? Удалить?

[B]2Maxim[/B]
Спасибо, попробую.
07.02.2008, 15:34
Numb

adiras.exe - если верить google - может быть частью ПО от ADSL-модема. На всякий случай, запакуйте его в архив с паролем virus и загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=17666[/url]
07.02.2008, 17:53
Flock

[B]2Numb[/B]

Сделано!
[code]Файл сохранён как 080207_064900_adiras_47aafe3c6e817.zip
Размер файла 8873
MD5 68c78f517b57b4c363a107ea2ccc179b[/code]

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 3 минуты[/I][/B][/color][/size]

Итак, фикс сделал. Также стал работать безопасный режим.
Вот антивирус и фаервол до сих пор не могу запустить, ругается что "... .exe не является приложением win32". Может переустановить софт?
07.02.2008, 18:38
Numb

По adiras.exe: пока не трогайте его. А прочие программы, кроме антивируса и файерволла, не выдают таких ошибок?
07.02.2008, 19:17
Flock

Вложений: 2

[quote=Numb;184583]А прочие программы, кроме антивируса и файерволла, не выдают таких ошибок?[/quote]
Совершенно верно - другие программы нормально открываются и функционируют.
Прилагаю скрины по ошибкам.
07.02.2008, 19:29
V_Bond

фаервол и антивирус придется переустановить ...
07.02.2008, 21:03
Flock

Фаервол переустановил, касперский восстановил его же службой восстановления.
Теперь все работает. :)

Всем спасибо за помощь!

Единственный вопрос - если ставить пароли на антивирь и фаервол - поможет это от вырубания этих программ вирусом?
Ну и что делать с adiras.exe - оставлять? :)
07.02.2008, 23:22
rubin

[quote]Единственный вопрос - если ставить пароли на антивирь и фаервол - поможет это от вырубания этих программ вирусом?[/quote]
поможет в какой-то степени, но они и так обладают самозащитой, так что это некритично
08.02.2008, 03:39
Flock

[quote=rubin;184701]поможет в какой-то степени, но они и так обладают самозащитой, так что это некритично[/quote]
Раз данный вирус мог вырубить фаер и антивирь, значит пароль не поможет. Жаль.
22.02.2009, 03:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]