Junior Member
Вес репутации
60
Подозрение на Trojan-Downloader.Win32.Bagle.aj
Симптомы: Периодически наступает синий экран смерти, после чего винда предлагает послать отчет об ошибке, и на сайте мелкософта высвечивается:
Virus alert: Microsoft detected the WinNT / Bagle.gen virus on your computer
This problem was caused by WinNT / Bagle.gen, a known computer virus.
WinNT / Bagle.gen is also known by the following names:
Win32/Ursnif Trojan-Downloader.Win32.Bagle.cu W32.Beagle.GM Troj/BagleDl-DB Troj/Bagle-TH A solution is available that will solve this problem.
В задачах висит процесс: wintems.exe , но файла такого на диске C: нету.
При попытке войти в безопасный режим происходит ребут (после того как убирается бут-скрин винды с полоской загрузки). Антивирусов нет и теперь не установить.
Help please!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\FIREPL~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\wbsys.dll','');
QuarantineFile('c:\windows\system32\wintems.exe','');
QuarantineFile('c:\windows\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\hldrrr.exe','');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
BC_DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\svchost.exe');
BC_DeleteFile('c:\windows\svchost.exe');
DeleteFile('c:\windows\system32\wintems.exe');
BC_DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteService('svchost');
DelBHO('D103E85B-5D67-42c1-8C83-F01079DBAB26');
DelBHO('A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC');
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('2670000A-7350-4f3c-8081-5663EE0C6C49');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Последний раз редактировалось Макcим; 09.01.2008 в 14:19 .
Junior Member
Вес репутации
60
Во время выполнения скрипта вылетел BSOD (вроде в самом конце, но я не уверен). wintems.exe все еще сидит в процессах.
* Я забыл отключить восстановление системы и еще от инета не отключился, повторить все шаги заного?
Вложения
Последний раз редактировалось capitanclaw; 09.01.2008 в 04:51 .
1. Скачайте последнюю версию AVZ - 4.29 и обновите ее базы.
2. Отключите восстановление системы.
3. Выполните скрипт Maxim'a и пришлите карантин.
4. Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Обновить не удаётся:
Альтернативная ссылка выдает тоже самое. Сделаю без обновления.
Попробуйте выполнить скрипт ещё раз, я внес в него некоторые правки.
Junior Member
Вес репутации
60
Следующие результаты:
Предыдущий скрипт вылетал в BSOD, при появлении в логе строчки связанной с карантином c:\windows\svchost.exe.
Новый скрипт вылетает в BSOD сразу, после нажатия кнопки выполнить — в логе ни одной строчки не появилось
и папка карантин не создалась в обоих случаях
Проведена ещё одна оптимизация. Выполняйте скрипт.
Junior Member
Вес репутации
60
Скрипт выполнился без ошибок :-)
Карантин послал. Сейчас сделаю повторно логи, но вроде wintems.exe убрался :-)
В защищенный режим, к сожалению не входит - перезагрузка после мигающий "_"
В защищенный режим, к сожалению не входит - перезагрузка после мигающий "_"
Подольше подождать не пробовали (скажем минут 10-15)?
В Safe mode работа chkdsk на экран не выводится...
I am not young enough to know everything...
Junior Member
Вес репутации
60
Подольше подождать не пробовали (скажем минут 10-15)?
В Safe mode работа chkdsk на экран не выводится...
А он не зависает, а сразу перезагружается.
Появился опять wintems.exe . Восстановление системы выключено, соединение с интернетом было во время процедур.
И еще: у меня подключены сетевые диски.
Вложения
пофиксите ..
Код:
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wbsys.dll','');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
60
Логи. Комментарий уж боюсь давать
Вложения
скачать ...
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\srosa.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт .... из поста 12 ...
сделайте лог virusinfo_syscheck.zip
Последний раз редактировалось V_Bond; 09.01.2008 в 20:34 .
Junior Member
Вес репутации
60
Сообщение от
V_Bond
Пока что не качает, стоит ли ждать доступности ссылки или есть альтернатива?
Junior Member
Вес репутации
60
Скачалось. Сделал по инструкции. Скрипт завершился нормально.
Вложения
Backdoor.Win32.Delf.afu c:\windows\svchost.exe
Trojan-Downloader.Win32.Bagle.hi c:\windows\system32\drivers\hldrrr.exe
Trojan-Downloader.Win32.Bagle.ho c:\windows\system32\wintems.exe
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','srosa');
TerminateProcessByName('c:\windows\system32\wintems.exe');
TerminateProcessByName('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportDeletedList;
BC_DeleteFile('c:\windows\system32\drivers\hldrrr.exe');
BC_DeleteFile('c:\windows\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
virusinfo_syscheck опять повторить...
Последний раз редактировалось Макcим; 09.01.2008 в 23:33 .
Причина: Поправил скрипт
Junior Member
Вес репутации
60
Вот оно.
Кстати выполнение скрипта привело к BSOD. Попробую уточнить последнюю строчку лога, запустив скрипт еще раз...
Вложения
Последний раз редактировалось capitanclaw; 09.01.2008 в 22:47 .
Хм... что-то ничего не удаляется... попробуйте выполнить совет в посте №14 в безопасном режиме, затем мой скрипт (тоже в безопасном)