Здравствуйте.
Предыстория - Win7 x86, KIS2013, скачали и запустили какой-то exe-самораспаковщик с якобы нужной книгой, он что-то рапаковал, KIS заверещал и написал "борьба с активным заражением". Какое-то время он что-то пытался удалить, параллельно установился и запустился какой-то китайский USBrowser с иероглифами.
Каспер предложил перезагрузиться, после загрузки ничего не изменилось - левый браузер на месте, все яростно тормозит, каспер не может начать проверку.
Благо второй системой стоит Win_XP, загрузился в нее, скачал CureIt!и запустил оттуда проверку. Нашло много всего. Загружаюсь в
Win7 - вроде все ок. Браузера нет, тормозов нет. Правда стало появляться окно с ошибкой файла подкачки:
Проверил каспером полной проверкой, все ок, угроз нет. После пары перезагрузок система вдруг стала очень долго загружаться - перед окном приветствия минут по мять черного экрана с курсором.
Опять из под Win_XP той же утилитой проверяю - находит два дубля одного файла AdAntiHS.exe в разных местах:
K:\Users\user\AppData\Roaming\AdAnti
K:\Documents and Settings\user\AppData\Roaming\AdAnti
Удаляет, захожу в семерку нормально, вроде все хорошо, но через одну-две минуты на тех же самых местах появляются те же самые файлы (это я уже опытным путем выяснил).
Скачиваю Live-CD с Вэбом, гружусь с него и полночи тотальной проверки. Вроде что-то нашел, много левого (типа кейгенам к старым прогам, которые лежат у меня уже лет пять).
Гружу Win7 и все опять по кругу. Каспер в упор не видит эти AdAnti.
Снес каспера поставил Аваст, опять полная проверка перед загрузкой на всю ночь, тоже что-то находит, но загружаемся и файлы на месте:
Убираю Аваст, ставлю ДрВэб с триалом на три месяца. Также проверка тотальная на ночь, но по окончании я увидел темный экран с курсором, перезагрузка резетом. В логе всего три записи - два Adantihs и один почищенный файл host. Хост был дописан мною также лет пять назад (там добавлены серверы проверки лицензий ФШ и т.п.). Он не при делах был. Т.к. и с чистым хостом все точно так же - после перезагрузки файлы восстанавливаются.
С Вэбом дальше так, после тотальной проверки и и загрузки он выдал такое предупреждение:
Ок, создали правило. Теперь такое больше не вылезает. Но продолжается следующее- перезагружаемся, проходит пара минут, доктор обнаруживает заразу и предлагает лечить с перезагрузкой:
И так по кругу - загружаемся, находит adantish, удаляет, перезагружаемся и опять по кругу.
Позже стало так - грузим винду, файлы появляются (поиском по диску сразу нахожу), а Dr.Web молчит. Когда ему их выделяешь (или разделы указываешь) он да, угроза, лечим/перезагружаем. А сам почему-то перестал находить.
После перезагрузки - дубликаты AdAntisHS.exe на своих местах, Вэб молчит. И так можно бесконечно делать.
Подскажите, пожалуйста, как избавиться от сей гадости?
Если что, этот самый AdAntiHS.exe лежит в архиве, могу предоставить.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) userr09, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Во, щас вроде пропало и с системного диска и из реестра. Уже несколько раз перезагрузился. Все чисто.
Что перед этим было. Выполнив скрипт, комп перезагрузился. Пока готовил отправку папки с карантином, Др.Вэб снова показал окно об безвреживании угроз с перезагрузкой. Отправив карантин, перезагрузился.
Зашел в реестр и снес две ветки с упоминанием AdAntiHS (они всегда в одном месте появлялись). Проверил системный диск поиском - нашлось лишь две пустых папки из-под AdAntiHS. Удалил и их. Перезагрузился. Еще раз проверил - все, нет ни AdAntiHS, ни его папок. В реестре тоже стало чисто.
Несколько раз перезагрузился, пока все по прежнему - больше AdAntiHS не появляется ни в системном разделе, ни в реестре.
Буду смотреть дальше.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке uVS после выполнения скрипта и перезагрузки, архива ZIP с именем, начинающимся с ZOO_ не появилось. Есть лишь пустая папка с именем ZOO. Лог в аттаче.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: