Win32.HLLM.Beagle а может и не только он

В процессе чистки автозагрузки компьтера от всякого хлама (не вирусов но редкоиспользуемых программ, норовящих записать себя в автозагрузку) был обнаружен 'подозрительный' процесс [B]wintems.exe.[/B] Не удалось найти ни одного ключа в реестре содержащего его имя. Да и сам файл на диске тоже обнаружить не удалось. Понимаю, что подхватил какую то заразу. Проверка свеженьким [B]CureIt[/B] ничего не дала Смотрю в интернете про этот файл, в энциклопедии Касперского написано, что это [B]Trojan-Downloader.Win32.Bagle.aj[/B] Но должен быть файл на диске в system32 и запись в реестре в Run. Решаю, что зараза хорошо шифруется (странно, что процесс в ТаскМенеджере не скрыла, я бы и не забеспокоился). Перезагружаюсь в безопасном режиме, и вот сюрприз - Синий экран:

STOP: 0x0000007B (0xF6823848, 0xC0000037, 0x00000000, 0x00000000) INACCESSIBLE_BOOT_DEVICE

Не грузится ни в каком виде (с сетью/без сети/командная строка).

Загружаюсь в обычном режиме. Лезу в интернет смотреть как победить эту заразу без безопасного режима. Ничего толком не нашел, но наткнулся на этот форум. Сделал почти все как описано в правилах. Позволил себе немного лишнего: после шага 8 на диске стал виден искомый файл и не только он, а в реестре соответствующие ключи на запуск. И я все что точно идентифицировал как заразу переименовал, а соответствующие записи из реестра удалил. А именно:

[B]hldrrr.exe[/B], [B]wintems.exe[/B], [B]m_hook.sys[/B], [B]hidr.exe[/B].

После повторного запуска AVZ у меня вызывает подозрение следующие вещи:

Странный процесс "C:\WINNT\System"
Странный автозапуск "autocheck autochk *"
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "hplun.dll"

Да и система при попытке загрузиться в безопасном режиме продалжает падать.

sptd.sys который много чего перехватывает это вроде как DaemonTools (виртуальный CD/DVD привод)

Про модули пространства ядра и драйверы ничего определенного сказать не могу. Остальные списки различных надстроек над системой вроде как соответствую действительности.

Владимир

AVZ - файл - выполнить скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys','');
QuarantineFile('c:\winnt\system32\wintems.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe','');
QuarantineFile('c:\winnt\system32\hldrrr.exe','');
RebootWindows(true);
end.[/CODE]

Прислать карантин в соответствии с приложением 2 с пятого пункта.

зы. Если есть возможность, загрузитесь с внешнего носителя и пришлите запрошенные файлы.

Извиняйте, я чуть расширю.

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\System32\Drivers\moh.SYS','');
QuarantineFile('c:\winnt\System32\Drivers\mhk.SYS','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe','');
QuarantineFile('c:\winnt\system32\wintems.exe','');
QuarantineFile('c:\winnt\system32\hldrrr.exe','');
QuarantineFile('hplun.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe');
DeleteFile('c:\winnt\system32\hldrrr.exe');
DeleteFile('c:\winnt\system32\wintems.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7428[/url]

P.S. System - это нормальный процесс. И autocheck autochk тоже нормально.

Закачал все что просили:

Файл сохранён как 070111_164920_virus_7428_45a6bef0ba2a3.zip

moh.SYS, mhk.SYS, а при более внимательном просмотре и hplun.dll в которой я изначально засомневался относятся к программе BestCrypt от Jetico, Inc. и на 99.9% являются вполне нормальными. Это программа для создания виртуальных шифрованных жестких дисков, эпизодически использую ее уже несколько лет и никаких претензий не было.

Владимир

И тишина.....

Бог с ним с вирусом, он вроде как пофиксен, а что делать с виндой, чтобы в безопасном режиме грузилась? Я не раз сталкивался с этим на чужих компах и при наличии десятка и более разных вредителей, там было проще винду переставить, чем все глюки послевирусные ловить, но сейчас очень не хочется переставлять винду, ведь все остальное норамально работает.

Владимир

AVZ->Файл->Восстановление системы. ПОпробуйте отметить там восстанопвление загрузки в безопасном режиме

Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\hidr.exe - [B]Email-Worm.Win32.Bagle.hc[/B] (DrWEB: Trojan.AVKill.258)[*] \\hldrrr.exe - [B]Email-Worm.Win32.Bagle.hd[/B] (DrWEB: Win32.HLLM.Beagle)[*] \\m_hook.sys - [B]Email-Worm.Win32.Bagle.hc[/B] (DrWEB: Trojan.Gigagen)[*] \\wintems.exe - [B]Email-Worm.Win32.Bagle.hc[/B] (DrWEB: Win32.HLLM.Beagle)[/LIST][/LIST]