Trojan-Downloader.Win32.Bagle.aj

**Flock** · 07.02.2008, 01:23

Здравствуйте.

Моя проблема практически идентична автору топика Вирус - процесс wintems.exe.
1. Когда заразился, антивирус Kaspersky Anti-Virus 7.0 и фаервол Outpost Firewal 4.0 вырубились.
При попытке их включения выскакивает надпись "... .exe не является приложением win32".
2. В списке процессов появился wintems.exe.
3. При попытке загрузиться в безопасном режиме выскакивает синий экран смерти.
4. Не могу подключиться к интернету (сейчас я пишу с другой машины). Модем настроен на роутер, при указании в сетевых подключениях основного шлюза - пишется, что сетевой кабель не подключен; если убрать адрес основного шлюза - кабель подключается.

Что было сделано.
- с помощью консоли восстановления удалил следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

- выполнил шаги 3-14 правил;

- по рекомендации вирусного справочника удалил из реестра следующие ключи:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"german.exe" = "C:\WINDOWS\system32\wintems.exe"
"drvsyskit" = "C:\WINDOWS\system32\drivers\hldrrr.exe"

[HKCU\Software\DateTime4]
uid = "39824297"
port = "2b03"
wdrn = "1"

Удалял так, в ручную, не из под безопасного режима.

- скачал и установил setup_7.0.0.180_06.02.2008_20-03.exe
Машину так и не смог проверить на вирусы - либо AVPTool зависала, либо повисев в процессах секунд 20 - вываливалась. :\

Помогите пожалуйста. :?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 07.02.2008, 01:55

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('srosa', 4);
 QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
 QuarantineFile('C:\Program Files\wclock32v271\WCLOCK32.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\M1000KNT.sys','');
 QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
 DeleteFile('C:\WINDOWS\system32\wintems.exe');
 BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
 BC_DeleteSvc('srosa');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=17666 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил. В дополнение: скачайте утилиту Cureit! и выполните полную проверку системы. Внимание! При старте утилита Cureit! предлагает выполнить экспресс-проверку, по окончании которой вы сами должны отметить пункт "Полная проверка" и нажать кнопку "Выполнить".

**Flock** · 07.02.2008, 03:07

Спасибо, буду пробовать.)
Да, забыл добавить, что восстановление системы я еще не включал. И не планирую включать до завершения всех проверок и лечилок.

Добавлено через 56 минут

2Numb
Карантин сделал и закачал:

Код:

Файл сохранён как	080206_180221_virus_47aa4a8d068bd.zip
Размер файла		54856
MD5			0bcf76bcb8e9aed830bbf6f1e78b3ead

Пошел делать логи и проверяться курейтом.

**Flock** · 07.02.2008, 03:30

Вот и логи.

**Bratez** · 07.02.2008, 03:48

Больше ничего "интересного" в логах не видно.
Вот эти строчки можно пофиксить для порядка:

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Какие-то проблемы остались?

**Flock** · 07.02.2008, 03:57

2Bratez

Сейчас делаю полную проверку Cureit!, а это уже до завтрашнего дня, потом сделаю фикс, предложенный Вами. Да и спать уже пора.

А потом уже буду проверять, смогу ли запустить антивирь с фаерволом и смогу ли загрузиться в безопасном режиме. Эх..

**Макcим** · 07.02.2008, 09:05

Выполните скрипт в AVZ для восстановления безопасного режима

Код:

begin
 ExecuteRepair(10);
 RebootWindows(true);
end.

**Flock** · 07.02.2008, 15:28

На вирусы проверился. Вот что нашлось (см. приложение).

Что такое pIRC.exe - я знаю. А вот adiras.exe - без понятия (похоже, какая-то звонилка).
Собстно, что делать с adiras.exe ? Удалить?

2Maxim
Спасибо, попробую.

**Numb** · 07.02.2008, 15:34

adiras.exe - если верить google - может быть частью ПО от ADSL-модема. На всякий случай, запакуйте его в архив с паролем virus и загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=17666

**Flock** · 07.02.2008, 17:53

2Numb

Сделано!

Код:

Файл сохранён как	080207_064900_adiras_47aafe3c6e817.zip
Размер файла		8873
MD5			68c78f517b57b4c363a107ea2ccc179b

Добавлено через 2 часа 3 минуты

Итак, фикс сделал. Также стал работать безопасный режим.
Вот антивирус и фаервол до сих пор не могу запустить, ругается что "... .exe не является приложением win32". Может переустановить софт?

**Numb** · 07.02.2008, 18:38

По adiras.exe: пока не трогайте его. А прочие программы, кроме антивируса и файерволла, не выдают таких ошибок?

**Flock** · 07.02.2008, 19:17

Сообщение от Numb

А прочие программы, кроме антивируса и файерволла, не выдают таких ошибок?

Совершенно верно - другие программы нормально открываются и функционируют.
Прилагаю скрины по ошибкам.

**V_Bond** · 07.02.2008, 19:29

фаервол и антивирус придется переустановить ...

**Flock** · 07.02.2008, 21:03

Фаервол переустановил, касперский восстановил его же службой восстановления.
Теперь все работает.

Всем спасибо за помощь!

Единственный вопрос - если ставить пароли на антивирь и фаервол - поможет это от вырубания этих программ вирусом?
Ну и что делать с adiras.exe - оставлять?