Показано с 1 по 8 из 8.

Win32.HLLM.Beagle а может и не только он (заявка № 7428)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2007
    Сообщений
    4
    Вес репутации
    63

    Thumbs up Win32.HLLM.Beagle а может и не только он

    В процессе чистки автозагрузки компьтера от всякого хлама (не вирусов но редкоиспользуемых программ, норовящих записать себя в автозагрузку) был обнаружен 'подозрительный' процесс wintems.exe. Не удалось найти ни одного ключа в реестре содержащего его имя. Да и сам файл на диске тоже обнаружить не удалось. Понимаю, что подхватил какую то заразу. Проверка свеженьким CureIt ничего не дала Смотрю в интернете про этот файл, в энциклопедии Касперского написано, что это Trojan-Downloader.Win32.Bagle.aj Но должен быть файл на диске в system32 и запись в реестре в Run. Решаю, что зараза хорошо шифруется (странно, что процесс в ТаскМенеджере не скрыла, я бы и не забеспокоился). Перезагружаюсь в безопасном режиме, и вот сюрприз - Синий экран:

    STOP: 0x0000007B (0xF6823848, 0xC0000037, 0x00000000, 0x00000000) INACCESSIBLE_BOOT_DEVICE

    Не грузится ни в каком виде (с сетью/без сети/командная строка).

    Загружаюсь в обычном режиме. Лезу в интернет смотреть как победить эту заразу без безопасного режима. Ничего толком не нашел, но наткнулся на этот форум. Сделал почти все как описано в правилах. Позволил себе немного лишнего: после шага 8 на диске стал виден искомый файл и не только он, а в реестре соответствующие ключи на запуск. И я все что точно идентифицировал как заразу переименовал, а соответствующие записи из реестра удалил. А именно:

    hldrrr.exe, wintems.exe, m_hook.sys, hidr.exe.

    После повторного запуска AVZ у меня вызывает подозрение следующие вещи:

    Странный процесс "C:\WINNT\System"
    Странный автозапуск "autocheck autochk *"
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "hplun.dll"

    Да и система при попытке загрузиться в безопасном режиме продалжает падать.

    sptd.sys который много чего перехватывает это вроде как DaemonTools (виртуальный CD/DVD привод)

    Про модули пространства ядра и драйверы ничего определенного сказать не могу. Остальные списки различных надстроек над системой вроде как соответствую действительности.

    Владимир
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    AVZ - файл - выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys','');
     QuarantineFile('c:\winnt\system32\wintems.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe','');
     QuarantineFile('c:\winnt\system32\hldrrr.exe','');
    RebootWindows(true);
    end.
    Прислать карантин в соответствии с приложением 2 с пятого пункта.

    зы. Если есть возможность, загрузитесь с внешнего носителя и пришлите запрошенные файлы.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Извиняйте, я чуть расширю.

    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\winnt\System32\Drivers\moh.SYS','');
     QuarantineFile('c:\winnt\System32\Drivers\mhk.SYS','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe','');
     QuarantineFile('c:\winnt\system32\wintems.exe','');
     QuarantineFile('c:\winnt\system32\hldrrr.exe','');
     QuarantineFile('hplun.dll','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\hidires\m_hook.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\hidires\hidr.exe');
     DeleteFile('c:\winnt\system32\hldrrr.exe');
     DeleteFile('c:\winnt\system32\wintems.exe');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7428

    P.S. System - это нормальный процесс. И autocheck autochk тоже нормально.

  5. #4
    Junior Member Репутация
    Регистрация
    10.01.2007
    Сообщений
    4
    Вес репутации
    63
    Закачал все что просили:

    Файл сохранён как 070111_164920_virus_7428_45a6bef0ba2a3.zip

    moh.SYS, mhk.SYS, а при более внимательном просмотре и hplun.dll в которой я изначально засомневался относятся к программе BestCrypt от Jetico, Inc. и на 99.9% являются вполне нормальными. Это программа для создания виртуальных шифрованных жестких дисков, эпизодически использую ее уже несколько лет и никаких претензий не было.

    Владимир

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2007
    Сообщений
    4
    Вес репутации
    63
    И тишина.....

    Бог с ним с вирусом, он вроде как пофиксен, а что делать с виндой, чтобы в безопасном режиме грузилась? Я не раз сталкивался с этим на чужих компах и при наличии десятка и более разных вредителей, там было проще винду переставить, чем все глюки послевирусные ловить, но сейчас очень не хочется переставлять винду, ведь все остальное норамально работает.

    Владимир

  7. #6
    Geser
    Guest
    AVZ->Файл->Восстановление системы. ПОпробуйте отметить там восстанопвление загрузки в безопасном режиме

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2007
    Сообщений
    4
    Вес репутации
    63
    Спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. \\hidr.exe - Email-Worm.Win32.Bagle.hc (DrWEB: Trojan.AVKill.25
      2. \\hldrrr.exe - Email-Worm.Win32.Bagle.hd (DrWEB: Win32.HLLM.Beagle)
      3. \\m_hook.sys - Email-Worm.Win32.Bagle.hc (DrWEB: Trojan.Gigagen)
      4. \\wintems.exe - Email-Worm.Win32.Bagle.hc (DrWEB: Win32.HLLM.Beagle)


  • Уважаемый(ая) fedorch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLM.Beagle (Bagle)
      От NABLA1986 в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 28.07.2009, 01:25
    2. Win32.HLLM.Beagle
      От VVVlad в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.04.2009, 16:00
    3. win32.hllm.beagle.212
      От graham в разделе Помогите!
      Ответов: 72
      Последнее сообщение: 22.02.2009, 05:09
    4. Win32.HLLM.Beagle
      От seezamm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2008, 17:14
    5. Win32.HLLM.Beagle
      От 7turtles в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 01:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00115 seconds with 18 queries