wintems.exe or wintems process info for Trojan.W32.Beagle

[NENAD]

Закачив нешто пред малце и сега ништо не ми функционира нормално:
NOD32 неќе да се стартува, CCleaner неќе да се вклучи а и ни еден од новиве антивирусни програми (AVG, Spybot Search & Destroy) што пробав да ги инсталирам со цел да го средам ова не функционираат т.е. по нивната инсталација кога ги кликам ми вика: "Is not a valid win32 application"!
Пробав дури и со SmitfraudFix но пак ништо, 4-ри саати се мучам, но никако да го средам ова. Прв пат ми се дешава вака некој да ме "матира"! :invalid:
Некоја солуција?

HELP PLEASE неќам пак да форматирам! )

 

[Alexandar]

Пробај со некој portable AntiVirus.

 

[NENAD]

ок, ќе пробам. Може ќе иам среќа да го средам ПЦ-во.
Фала.

 

[Miksa2007]

Ili vlagas vo Safe Mode pa probas so instaliranite antivirusi.

 

[NENAD]

Го открив:
wintems.exe or wintems process info for Trojan.W32.Beagle
Е сега финтава е што не можам да го исклучам ни со HiJackThis пошто ми ја вика истата порака од горе, дека не е валидна апликација.
Ќе пробам у сејф мод да го исклучам процесов, и со антивирусиве некој скен ор самтинг.
Пошто вака ни портабл верзииве (симнав Касперски) не работат.

 

[Blagojce]

А од safe mode да го избришиш рачно да пробаш.

 

[fuUuUzZzZy]

prvo iskluchi go processot da ne se javuva na start up..
verojatno znaesh ama da te potsetam..
znachi : start --> run --> msconfig --> go otvorash tabot startup --> go odshtiklirash processot.

 

[NENAD]

prvo iskluchi go processot da ne se javuva na start up..
verojatno znaesh ama da te potsetam..
znachi : start --> run --> msconfig --> go otvorash tabot startup --> go odshtiklirash processot.

Без навреда но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.
Значи ако знае некој како да го исклучам процесов и евентуално како би го пронашол т.е. кај би се наоѓал главниов ddl ли сл. би бил благодарен да ми каже.

ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".
Иначе читав дека ептен тешко се одстранува:
"It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts."
Значи исти симптоми да не речам 101% како овие!
Ајде хакери да ве видам на дело!! Не, шала на страна со ваков тип на вирус одамна волку не сум се измачил! :lut2:
Симнав преку 10 програми од кои 90% од нив не го препознаваат а ни со останатите 10% не можам да го исклучам.
:ermm:

НЕКОЈ ХЕРОЈ????

 

[NENAD]

А од safe mode да го избришиш рачно да пробаш.

Значи и тука ќе потенцирам:
неможам да влезам во сејв мод!

 

[HijackHacker]

Еве како да се маниш:
http://forums.spybot.info/showthread.php?t=22682

Потребни програми:
GMER - http://www.gmer.net/gmer.zip

Преку ова барај ги процесите:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
и фајлот:
C:\WINDOWS\system32\drivers\srosa.sys

и бриши ги.

Повеќе инфо на горе-наведениот линк.
Позз и се надевам дека ќе го средиш овој проблем!

 

[AMD_fan]

Ако се работи за Trojan.W32.Beagle би ти препорачал да погледнеш тука. За да го одстраниш мораш рачно да ги избришеш W32.Bagle.gen фајловите. За да го сториш тоа следи ја постапката што е објаснета тука.
Се надевам дека ти помогнав. :bye1:

 

[HijackHacker]

Да се надоврзам со постот горе.
Отвори го програмот, и кликни на табот ">>>"
Иди во "Processes" и кликни на "Safe...". Ќе го стартува компјутерот во GMER SafeMode и после изврши ги оние инструкции горе.

 

[AMD_fan]

За wintems.exe Gil Kreslavski вели:

I must say that with all my of experience that one was one of the hardest to remove ..
It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts.

Што се однесува до wintems.exe, би ти препорачал да пробаш со GMER, како што ти препорача hijackhacker. Откако ќе го симнеш GMER следи ги инструкциите:

Run the tool and when it finds wintems.exe process kill him..

1. Run regedit go to HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache and see all entries regarding "C:WINDOWSsystem32drivers" .
2. In Explorer window Go to> tools>folder options>view and select show hidden files
3. Browse to your C:WINDOWSsystem32drivers .. find drivers folder and try to delete all files listed in HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
4. Scan your system with panda online scanner (the only one that actually cleans , not only detects
5. Install anti virus program, download last updates and do a full scan to your system

Повеќе за ова на Kreslavsky.

 

[NENAD]

Фала дечки но ова на Kreslavski го прочитав уште сабајлево но ништо од него, вирусов не дозволува да го инсталирам GMER.

 

[HijackHacker]

Фала дечки но ова на Kreslavski го прочитав уште сабајлево но ништо од него, вирусов не дозволува да го инсталирам GMER.

А да пробаш со бутабилно цд на Линукс, како Убунту? Ако ти ја прочита партицијата, ќе можеш рачно да ги избришеш фајловите

 

[AMD_fan]

Има еден коментар на сајтот на Kreslavski за бришење преку Линукс (Убунту):

I have a dual boot machine (Ubuntu and Windows Xp). I boot with Ubuntu (Ubuntu can read my Windows Xp Partition ad sda2).

I:

1. I delete wintems.exe from c:windowssystemwintems.exe,
2. I do the same for hldrrr.exe e srosa.sys.
3. Then I delete the directory c:windowssystemdriversdown
4. I restart Windowx XP
5. I delete the registry key
6. Then I can install Avast and make a full scan without problem

If you don't have a dual boot linux/windows machine, you can use Knoppix.

I hope this can help.

Ако имаш искуство со Убунту, пробај.

 

[NENAD]

Значи како се читате вие двајца! )
Ај, ќе пробам ако го најдам Кнопиксов, со Убунтуво неможам, иам 256 рам.

 

[AMD_fan]

Мислам дека проблемот е во C:\WINDOWS\system32\mdelk.exe. Пробај да го избришеш или пак пробај со BitDefender Online Scanner кој работи само преку Internet Explorer.
Алатки кои можат да ти помогнат:
ATF Cleaner ComboFix. Пробај со ComboFix ако можеш да го стартуваш.
Едит:
Заборавив да напоменам дека ако пробаш со ComboFix, треба претходно да ги затвориш СИТЕ интернет прелистувачи и исто така ДА СЕ ДИСКОНЕКТИРАШ од интернет.

П.С. На странските форуми велат дека оваа алатка 100% го чисти овој вирус. :bye1:

 

[fuUuUzZzZy]

Без навреда но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.
Значи ако знае некој како да го исклучам процесов и евентуално како би го пронашол т.е. кај би се наоѓал главниов ddl ли сл. би бил благодарен да ми каже.

ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".
Иначе читав дека ептен тешко се одстранува:
"It disables your current antivirus software, prohibit you from accessing system in safe mode , and changes names each time it starts."
Значи исти симптоми да не речам 101% како овие!
Ајде хакери да ве видам на дело!! Не, шала на страна со ваков тип на вирус одамна волку не сум се измачил! :lut2:
Симнав преку 10 програми од кои 90% од нив не го препознаваат а ни со останатите 10% не можам да го исклучам.
:ermm:

НЕКОЈ ХЕРОЈ????

Без навреда

Nema ovde navreda, uzhivaj

но ве молам без вакви ретардирани одговори т.е. некои солуции од типов на одговор над мене пошто и баба ми знае дека ваквиов тип на вируси не се брише туку така.

normalno deka nemozhesh da go izbrishesh, tuku so ova mi beshe ideata da go trgnesh od startup (dokolku go ima ) za da ne bide samiot aktiviran nekoe vreme, po(so) ukluchuvanjeto na kompjuterot.
A ako veke stoeshe, so iskluchuvanje ke ti dozvoleshe da mozhesh da otvorish barem nekoja podobra anti-virusna, koja shto mozhebi ke ti podpomogne vo sluchajov.

ЗНАЧИ wintems.exe како процес во старт ап го нема, најверојатно креаторот добро го "скрил".

Ova trebeshe malce porano da go napishesh, t.e pred mojot post, pa taka da baravme nekoe pokonkretno reshenie.



btw. neshto za processov

wintems.exe is a process which is registered as the Trojan.W32.Mitglieder and Trojan.W32.BAGLE Trojans. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. It is a registered security risk and shou

I ushte neshto koe shto mozhebi ke ti go spasi pc-to

To infect a machine, the trojan copies itself to %System%wintems.exe before dropping two DLL files. These files have been identified as:

%System%forõ.exe (27,136 bytes) and %System%noat.exe (16,384 bytes).

Note: '%System%' is a variable location. The worm determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:WinntSystem32; for 95,98 and ME is C:WindowsSystem; and for XP is C:WindowsSystem32.

The various components are used in the following way:

Once executed, wintems.exe injects noat.exe into Explorer.exe, which in turn loads forõ.exe, containing the main functionality of the trojan. This allows the trojan to run under the guise of the Windows process Explorer.exe.

Mitglieder.CT creates the following registry value so that it is run at each system startup:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunssgrate.exe = "%System%wintems.exe"

ili celosno tuka

 

[Fiasco]

Јас имав сличен проблем како твојот - ама не го решив. Ниту една антивирусна програма не помогна, а незнам со колку не пробав. Но секако ми беше за форматирање. Ако ти помогнат дечкиве арно ако не:
format c: - решение

 

[fuUuUzZzZy]

Јас имав сличен проблем како твојот - ама не го решив. Ниту една антивирусна програма не помогна, а незнам со колку не пробав. Но секако ми беше за форматирање. Ако ти помогнат дечкиве арно ако не:
format c: - решение

Vnimavaj!
Na vakvi "poopasni" virusi, preporachlivo e da se formatiraat site mozhni particii..Obichno vakvive virusi imaat namena da pravat svoja baza i vo ostanatite particii, i koga ke go sredish ti od edna ( c: vo momentov ) toj avtomatski povtrono si se kopira vo taa baza...


ps. vo konteks na temava..

osven tie iminja za virusv, ushte e poznat kako:


OUTPOST.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NVARCH16.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
CLEANPC.EXE
AVprotect9x.exe
CMGRDIAN.EXE
CMON016.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
ICSSUPPNT.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
ENT.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ESCANV95.EXE
AVPUPD.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
AUTODOWN.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
ZONEALARM.EXE
i ushte mnogu ostanati.. :chudenje::lut2: