wintems - BeagleAHD (AAW)

тоже поймал. вот как раз сейчсас занимаюсь удалением. [B][I](если вам нужен его генератор в осле качайте Willing WebCam 4.7 )[/I][/B]
.прочитал, тут много тем с этим связаными, ничего не помогает.
Подключил диск в ноуту через ///usb адаптер. все пролечил все ок, подключаю к компу диск и нифига все как и раньше, причем и новых траянов накачать успел. так что сеть надо отключать.
опять подключил через USB к ноуту и начал варить волшебное зелье и натягивать бубен. вот что выяснилось
1. сканирование ифицированного диска при помощи аваст
24.12.2009 13:00:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\137750.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\217734.exe" file.
24.12.2009 13:00:41 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\218921.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\284562.exe" file.
24.12.2009 13:00:42 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\484984.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\562890.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\564109.exe" file.
24.12.2009 13:00:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\585921.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\654484.exe" file.
24.12.2009 13:00:44 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\Documents and Settings\Root\Application Data\drivers\downld\655375.exe" file.
24.12.2009 13:21:23 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019976.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019977.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019978.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019979.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019980.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019981.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019982.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019983.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019984.exe" file.
24.12.2009 13:21:24 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{913D2792-5307-4724-ACC2-8EDEDDF1A60C}\RP73\A0019985.exe" file.
24.12.2009 13:25:14 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP391\A0330643.sys" file.
24.12.2009 13:25:20 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP392\A0330666.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330699.sys" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330703.exe" file.
24.12.2009 13:25:26 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP393\A0330704.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330981.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0330982.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331015.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331024.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331025.exe" file.
24.12.2009 13:25:28 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331043.sys" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331129.exe" file.
24.12.2009 13:25:30 Root 3972 Sign of "HTML:IFrame-KM [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331130.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331176.sys" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331184.exe" file.
24.12.2009 13:25:31 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331185.exe" file.
24.12.2009 13:25:32 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\System Volume Information\_restore{F548E0A7-A0A5-431E-A730-E2A75185A3A2}\RP394\A0331209.sys" file.
24.12.2009 13:27:47 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\mdelk.exe" file.
24.12.2009 13:33:23 Root 3972 Sign of "Win32:Beagle-AAW [Trj]" has been found in "F:\WINDOWS\system32\wfsintwq.sys" file.
24.12.2009 13:33:43 Root 3972 Sign of "Win32:Beagle-AHD [Wrm]" has been found in "F:\WINDOWS\wintems.exe" file.
2. выходи что удалять эти
"F:\WINDOWS\mdelk.exe" file.
"F:\WINDOWS\system32\wfsintwq.sys" file.
"F:\WINDOWS\wintems.exe" file.
файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи) необходимо сканорование и удаление при помощи LiveCD или другой комп.
3.Вычислил что в папке C:\Documents and Settings\(тут имя пользователя под которым был выполнен вход в систему в время заражения)\Application Data\drivers (удалил ее полностью т.к она нафиг не нужна) именно в ней в корне этой папки лежит исходный скрипт вируса. есть еще одна подпапка, в ней накачаные драйвера якобы для восстановления. В общем удалил папку drivers.

теперь проверяю диск еще раз с помощью CureIT для пущей уверености

после подключения к компу отпишусь если интересно.

[QUOTE=luj;543792]
файлы просто при помощи загрузки с диска бесполезно. они восстановиться из System Volume Information (к бабке не ходи)
[/QUOTE]
Восстановление системы не пробовали отключить?
после лечения сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]

[QUOTE=DefesT;543857]Восстановление системы не пробовали отключить?
да, отключил, забыл просто написать.

после лечения сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL][/QUOTE]
лечение не вышло :(
призагрузке системы все становиться на свое место.
ни одна из предложенных программ в правилах не стартут.
танци продолжаются.

запустил утилиту vj16 Power Tools
сразу обнаружил secdrv.sys
Любопытно а этот откуда

ВОТ RUN config системы

Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку

[QUOTE=Venus Doom;544370]Запишите на не зараженном ПК Kaspersky Rescue CD (ссылка у меня в подписи), загрузитесь с него и выполните проверку[/QUOTE]

ОК! СПАСИБО. пробую. (дел по горло, работать не могу. весь софт и базы на PC, пора делать сервер :) )

ура ура ура.
пока качался касперский кое что сделал.

1. запустил msconfig и выбрал диагностический запуск, перегрузил машину
2. запустил msconfig и в автозагрузке отключил wintems и winpugo, перегрулил машинцу
3. просканировал CureIT с:\windows вирусы удалил.

4. запустился rootkit Unhooker v 3.7 прибил процесс wintems и сделал wipe file для wfsintwq.sys и srosa2.sys
4.1 msconfig - обычная загрузка системы. перезапуск.
5. на другом компьютере создал на флэшке две папки для AVZ и Combоfix(заранее переименовал в Combо--fix) , для обеих папок задал атрибуты только чтение.
6. подключил флэшку к заражонному компу. и combоfix запустился. сканирование заняло минут 15-20
7. теперь и AVZ стартует. выполнил скрипты AVZ полное восстановление системы
кроме восстановления SIP и сделал отчеты.
8. перезаргузка, установилось антивирусное ПО Аваст.

дальше поглядим :)

С Наступающим.:biggrinsanta:

уважаемые
[B]DefesT[/B] и [B]Venus Doom[/B].
Нужно ли выложить логи AVZ или combofix?
(после лечения слетел thebat и ActiveDesctop) все восстановилось без проблемм.

Логи по правилам.

Вот ЛОГИ. на всякий случай добавл [I]combofix[/I], он был запущен первым.

ComboFix поработал на славу. Даже чуток перестарался. c:\program files\dns\DNS-Monitor или установите заново, или восстановите по такой методике [url]http://virusinfo.info/showpost.php?p=514765&postcount=3[/url]

Что с проблемой на данный момент? Базы AVZ почему не обновили перед сбором логов?

DNS монитор - да, ничего страшного :) он для тестов ставился и им не пользовался.
базы AVZ - не был подключен к сети в это время.
с проблеммой решено окончательно. а вот система требует вмешательств. некоторые параметры изменились:
1. доступ по сети обязательно требует указать имя - хотябы [B][COLOR="Green"]гость[/COLOR][/B].
2. нет настройки беспроводных сетй, якобы установленно сторонее программное обеспечение которое это поддерживает - на самом деле только дрова для DWL-g132
3. Лецензионная винда, обновились по правилам. не ставил тока SP3, после лечения занова устанавливались все обновления, причем WINDOWS ADWANTAGE сказал ОШИБКА и отказ в усстановке. хотя никаких проблемм с лицензированием и винда работает не ругается.
в общем , если компьютер только офисный, а не так как у меня наставленно кучу всякого софта и для работы и для развлечений, то никаких последствий бы небыло, а вот с доп устройсвами -дрова приходится подправлять по мере требований, но после переустановки все работает нормально.
в принципе все в норме, все это мелочи и все со временем отсроится, хотя конечно неприятно.
Я ведь и этот файл то хотел запустить без антивируса намерено - в общем сам прозевал, ГыГ. поймал секс на 2-е суток с компом. Полезная практика.
[COLOR="SeaGreen"][B]Наверное стоит песочницу испытать Касперского :)[/B][/COLOR]

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]