• Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.

wintems.exe or wintems process info for Trojan.W32.Beagle

  • Ја почнал/а темата
  • #1

NENAD

Intern
5 јуни 2007
29
0
Закачив нешто пред малце и сега ништо не ми функционира нормално:
NOD32 неќе да се стартува, CCleaner неќе да се вклучи а и ни еден од новиве антивирусни програми (AVG, Spybot Search & Destroy) што пробав да ги инсталирам со цел да го средам ова не функционираат т.е. по нивната инсталација кога ги кликам ми вика: "Is not a valid win32 application"!
Пробав дури и со SmitfraudFix но пак ништо, 4-ри саати се мучам, но никако да го средам ова. Прв пат ми се дешава вака некој да ме "матира"! :invalid:
Некоја солуција?

HELP PLEASE неќам пак да форматирам! :))
 
  • Ја почнал/а темата
  • #3

NENAD

Intern
5 јуни 2007
29
0
ок, ќе пробам. Може ќе иам среќа да го средам ПЦ-во.
Фала.
 
  • Ја почнал/а темата
  • #5

NENAD

Intern
5 јуни 2007
29
0
Го открив:
wintems.exe or wintems process info for Trojan.W32.Beagle
Е сега финтава е што не можам да го исклучам ни со HiJackThis пошто ми ја вика истата порака од горе, дека не е валидна апликација.
Ќе пробам у сејф мод да го исклучам процесов, и со антивирусиве некој скен ор самтинг.
Пошто вака ни портабл верзииве (симнав Касперски) не работат.
 

Blagojce

Gaining Experience
26 декември 2007
889
69
Прилеп
Blagojce's setup  
Processor & Cooler
Intel Core i5-3570 3.40GHz
Storage
2 TB
RAM
8 GB
Monitor
ASUS 24" LED Full HD
OS
Windows 10
А од safe mode да го избришиш рачно да пробаш.
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
prvo iskluchi go processot da ne se javuva na start up..
verojatno znaesh ama da te potsetam..
znachi : start --> run --> msconfig --> go otvorash tabot startup --> go odshtiklirash processot.
 
  • Ја почнал/а темата
  • #8

NENAD

Intern
5 јуни 2007
29
0
prvo iskluchi go processot da ne se javuva na start up..
verojatno znaesh ama da te potsetam..
znachi : start --> run --> msconfig --> go otvorash tabot startup --> go odshtiklirash processot.
Без навреда но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.
Значи ако знае некој како да го исклучам процесов и евентуално како би го пронашол т.е. кај би се наоѓал главниов ddl ли сл. би бил благодарен да ми каже.

ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".
Иначе читав дека ептен тешко се одстранува:
"It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts."
Значи исти симптоми да не речам 101% како овие!
Ајде хакери да ве видам на дело!! :D Не, шала на страна со ваков тип на вирус одамна волку не сум се измачил! :lut2:
Симнав преку 10 програми од кои 90% од нив не го препознаваат а ни со останатите 10% не можам да го исклучам.
:ermm:

НЕКОЈ ХЕРОЈ????
 

HijackHacker

Gaining Experience
21 февруари 2008
5,108
297
www.gorjan.info
Еве како да се маниш:
http://forums.spybot.info/showthread.php?t=22682

Потребни програми:
GMER - http://www.gmer.net/gmer.zip

Преку ова барај ги процесите:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
и фајлот:
C:\WINDOWS\system32\drivers\srosa.sys

и бриши ги.

Повеќе инфо на горе-наведениот линк.
Позз и се надевам дека ќе го средиш овој проблем!
 

AMD_fan

Gaining Experience
10 ноември 2007
3,646
139
Ако се работи за Trojan.W32.Beagle би ти препорачал да погледнеш тука. За да го одстраниш мораш рачно да ги избришеш W32.Bagle.gen фајловите. За да го сториш тоа следи ја постапката што е објаснета тука.
Се надевам дека ти помогнав. :bye1:
 

HijackHacker

Gaining Experience
21 февруари 2008
5,108
297
www.gorjan.info
Да се надоврзам со постот горе.
Отвори го програмот, и кликни на табот ">>>"
Иди во "Processes" и кликни на "Safe...". Ќе го стартува компјутерот во GMER SafeMode и после изврши ги оние инструкции горе.
 

AMD_fan

Gaining Experience
10 ноември 2007
3,646
139
За wintems.exe Gil Kreslavski вели:
I must say that with all my of experience that one was one of the hardest to remove ..
It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts.
Што се однесува до wintems.exe, би ти препорачал да пробаш со GMER, како што ти препорача hijackhacker. Откако ќе го симнеш GMER следи ги инструкциите:
Run the tool and when it finds wintems.exe process kill him..

1. Run regedit go to HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache and see all entries regarding "C:WINDOWSsystem32drivers" .
2. In Explorer window Go to> tools>folder options>view and select show hidden files
3. Browse to your C:WINDOWSsystem32drivers .. find drivers folder and try to delete all files listed in HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
4. Scan your system with panda online scanner (the only one that actually cleans , not only detects
5. Install anti virus program, download last updates and do a full scan to your system
Повеќе за ова на Kreslavsky.
 
  • Ја почнал/а темата
  • #14

NENAD

Intern
5 јуни 2007
29
0
Фала дечки но ова на Kreslavski го прочитав уште сабајлево но ништо од него, вирусов не дозволува да го инсталирам GMER.
:(
 

HijackHacker

Gaining Experience
21 февруари 2008
5,108
297
www.gorjan.info
Фала дечки но ова на Kreslavski го прочитав уште сабајлево но ништо од него, вирусов не дозволува да го инсталирам GMER.
:(
А да пробаш со бутабилно цд на Линукс, како Убунту? Ако ти ја прочита партицијата, ќе можеш рачно да ги избришеш фајловите
 

AMD_fan

Gaining Experience
10 ноември 2007
3,646
139
Има еден коментар на сајтот на Kreslavski за бришење преку Линукс (Убунту):
I have a dual boot machine (Ubuntu and Windows Xp). I boot with Ubuntu (Ubuntu can read my Windows Xp Partition ad sda2).

I:

1. I delete wintems.exe from c:windowssystemwintems.exe,
2. I do the same for hldrrr.exe e srosa.sys.
3. Then I delete the directory c:windowssystemdriversdown
4. I restart Windowx XP
5. I delete the registry key
6. Then I can install Avast and make a full scan without problem

If you don't have a dual boot linux/windows machine, you can use Knoppix.

I hope this can help.
Ако имаш искуство со Убунту, пробај.
 
  • Ја почнал/а темата
  • #17

NENAD

Intern
5 јуни 2007
29
0
Значи како се читате вие двајца! :))
Ај, ќе пробам ако го најдам Кнопиксов, со Убунтуво неможам, иам 256 рам.
:)
 

AMD_fan

Gaining Experience
10 ноември 2007
3,646
139
Мислам дека проблемот е во C:\WINDOWS\system32\mdelk.exe. Пробај да го избришеш или пак пробај со BitDefender Online Scanner кој работи само преку Internet Explorer.
Алатки кои можат да ти помогнат:
ATF Cleaner ComboFix. Пробај со ComboFix ако можеш да го стартуваш.
Едит:
Заборавив да напоменам дека ако пробаш со ComboFix, треба претходно да ги затвориш СИТЕ интернет прелистувачи и исто така ДА СЕ ДИСКОНЕКТИРАШ од интернет.

П.С. На странските форуми велат дека оваа алатка 100% го чисти овој вирус. :bye1:
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
Без навреда но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.
Значи ако знае некој како да го исклучам процесов и евентуално како би го пронашол т.е. кај би се наоѓал главниов ddl ли сл. би бил благодарен да ми каже.

ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".
Иначе читав дека ептен тешко се одстранува:
"It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts."
Значи исти симптоми да не речам 101% како овие!
Ајде хакери да ве видам на дело!! :D Не, шала на страна со ваков тип на вирус одамна волку не сум се измачил! :lut2:
Симнав преку 10 програми од кои 90% од нив не го препознаваат а ни со останатите 10% не можам да го исклучам.
:ermm:

НЕКОЈ ХЕРОЈ????



Nema ovde navreda, uzhivaj :)


но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.
normalno deka nemozhesh da go izbrishesh, tuku so ova mi beshe ideata da go trgnesh od startup (dokolku go ima ) za da ne bide samiot aktiviran nekoe vreme, po(so) ukluchuvanjeto na kompjuterot.
A ako veke stoeshe, so iskluchuvanje ke ti dozvoleshe da mozhesh da otvorish barem nekoja podobra anti-virusna, koja shto mozhebi ke ti podpomogne vo sluchajov.


ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".
Ova trebeshe malce porano da go napishesh, t.e pred mojot post, pa taka da baravme nekoe pokonkretno reshenie.



btw. neshto za processov
wintems.exe is a process which is registered as the Trojan.W32.Mitglieder and Trojan.W32.BAGLE Trojans. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. It is a registered security risk and shou
I ushte neshto koe shto mozhebi ke ti go spasi pc-to

To infect a machine, the trojan copies itself to %System%wintems.exe before dropping two DLL files. These files have been identified as:

%System%forõ.exe (27,136 bytes) and %System%noat.exe (16,384 bytes).

Note: '%System%' is a variable location. The worm determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:WinntSystem32; for 95,98 and ME is C:WindowsSystem; and for XP is C:WindowsSystem32.

The various components are used in the following way:

Once executed, wintems.exe injects noat.exe into Explorer.exe, which in turn loads forõ.exe, containing the main functionality of the trojan. This allows the trojan to run under the guise of the Windows process Explorer.exe.

Mitglieder.CT creates the following registry value so that it is run at each system startup:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunssgrate.exe = "%System%wintems.exe"
ili celosno tuka
 

Fiasco

Gaining Experience
2 март 2008
3,036
203
404
www.igorjanevski.com
Јас имав сличен проблем како твојот - ама не го решив. :D Ниту една антивирусна програма не помогна, а незнам со колку не пробав. Но секако ми беше за форматирање. Ако ти помогнат дечкиве арно ако не:
format c: - решение
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
Јас имав сличен проблем како твојот - ама не го решив. :D Ниту една антивирусна програма не помогна, а незнам со колку не пробав. Но секако ми беше за форматирање. Ако ти помогнат дечкиве арно ако не:
format c: - решение
Vnimavaj!
Na vakvi "poopasni" virusi, preporachlivo e da se formatiraat site mozhni particii..Obichno vakvive virusi imaat namena da pravat svoja baza i vo ostanatite particii, i koga ke go sredish ti od edna ( c: vo momentov ) toj avtomatski povtrono si se kopira vo taa baza...


ps. vo konteks na temava..

osven tie iminja za virusv, ushte e poznat kako:


OUTPOST.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NVARCH16.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
CLEANPC.EXE
AVprotect9x.exe
CMGRDIAN.EXE
CMON016.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
ICSSUPPNT.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
ENT.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ESCANV95.EXE
AVPUPD.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
AUTODOWN.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
ZONEALARM.EXE
i ushte mnogu ostanati.. :LOL::chudenje::lut2:
 

Нови мислења

Последни Теми

Статистика

Теми
43,518
Мислења
822,423
Членови
28,049
Најнов член
Mandej
На врв Дно