Показано с 1 по 11 из 11.

Dr. Web CureIt! нашел 4 вируса и не может их обезвредить [not-a-virus:HEUR:AdWare.Win32.AdAgent.gen ] (заявка № 204566)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    4

    Thumbs up Dr. Web CureIt! нашел 4 вируса и не может их обезвредить [not-a-virus:HEUR:AdWare.Win32.AdAgent.gen ]

    Доброго времени суток!

    Проверив нетбук "Dr. Web CureIt!", он нашел 4 малвари, вернее, 2, но расположены они в 2-ух местах:
    - Windows\System32\Drivers
    - Device\Harddiskvolume2\Windows\System32\Drivers

    Название файлов:
    - MPCBase.sys
    - MPCKpt.sys
    Dr. Web CureIt! запускает процедуру обеззараживания, но она длится до бесконечности и не завершается.
    Вирусы не удается удалить ни через Unlocker, ни вручную, ни через безопасный режим, а раздел "Device\Harddiskvolume2\Windows\System32\Drivers" не знаю, где находится.
    Данные файлы остались, после удаления программы MPC Cleaner, которая установилась по невнимательности пользователя с другим ПО.

    Просмотрев логи AVZ, хотел бы сказать, что:

    1)в таблице "Автозапуск" файлы
    - explorer "http://rizapse.ru/?utm_source=uoua03n&utm_content=f67890660e3d119ed9 60580406d2e9fe&utm_term=ACCC1B53C0CF68A54C9FB68DE5 74CCD7&utm_d=20160415"
    - E:\94bfe66f96b86c503ab5932bf1\DW\DW20.exe
    - C:\ProgramData\FWdsM

    мне не известны

    2)в таблице "Задания планировщика задач Task Scheduler" файлы
    - C:\Program Files\Yandex\YandexBrowser\16.7.1.20936\service_up date.exe
    - C:\ProgramData\KRB Updater Utility\krbupdater.exe
    - C:\Program Files\Kinoroom Browser\krbrowser.exe
    - aitagent
    - C:\Program Files\Yandex\YandexBrowser\16.7.1.20936\service_up date.exe

    хотелось бы удалить, т.к. эти программы давно не используются, а файл
    - C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugi n\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe
    выглядит подозрительным
    Вложения Вложения
    Последний раз редактировалось Bender Rodriguez; 05.10.2016 в 16:18.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) Bender Rodriguez, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Леночка\AppData\Local\PowerMonitor\PowerMonitor.exe','');
     QuarantineFile('C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe','');
     QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
     QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
     QuarantineFile('C:\Windows\System32\drivers\MPCBase.sys','');
     DeleteFile('C:\Windows\System32\drivers\MPCBase.sys','32');
     DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uztjybebrk','command');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
     DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
     DeleteFile('C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AABC9214D-F6CC-418B-925A-BFE3D39173CC','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32');
     DeleteFile('C:\Users\Леночка\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\PowerMonitor','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. thyrex получил(а) благодарность за это сообщение от


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    4
    Оба скрипта выполнил, карантин отправил, новые логи - вложил.
    Вложения Вложения

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. thyrex получил(а) благодарность за это сообщение от


  9. #6
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    4
    Инструкцию выполнил, логи - приложил.
    Вложения Вложения

  10. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKLM - No Name - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} -  No File
    Toolbar: HKU\S-1-5-21-2333438744-567831078-2471491056-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=811001","hxxp://www.trotux.com/?z=0c0fa20541b73c324fee599gbz4m7c4z6tag1eaq1b&from=wsy1&uid=WDCXWD3200BUDT-63DPZY0_WD-WX11E81J9064J9064&type=hp"
    S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X] <==== ATTENTION
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-08-14 12:59 - 2016-08-26 09:42 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
    2016-08-14 12:59 - 2016-08-26 09:42 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
    Task: {06456CC5-5CAF-4505-9E16-4F38F4715BC6} - \PowerMonitor -> No File <==== ATTENTION
    Task: {2C61F048-72FA-4981-8A19-DCE105D489C8} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
    Task: {38B44B3C-2623-4A3E-8B2F-07F58A2BDDCA} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
    Task: {78DC8781-41F3-4B42-9CEA-09849B2600F5} - \Microsoft\Windows\AABC9214D-F6CC-418B-925A-BFE3D39173CC -> No File <==== ATTENTION
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. thyrex получил(а) благодарность за это сообщение от


  12. #8
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    4
    Инструкцию выполнил, лог - приложил.
    Вложения Вложения

  13. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Проблема решена?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. thyrex получил(а) благодарность за это сообщение от


  15. #10
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    4
    Вроде, да, т.к. те файлы, на которые ругался Dr. Web CureIt!, удалились. Спасибо.

  16. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\mpcbase.sys - not-a-virus:HEUR:AdWare.Win32.AdAgent.gen
      2. c:\windows\system32\drivers\mpckpt.sys - not-a-virus:HEUR:AdWare.Win32.AdAgent.gen


  • Уважаемый(ая) Bender Rodriguez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 17
      Последнее сообщение: 20.10.2016, 01:56
    2. Карантин 405570958123302086F005B514C8F16E [not-a-virus:AdWare.Win32.AdAgent.ld, not-a-virus:AdWare.Win32.InstallMonster.jmsj ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 23.09.2016, 16:19
    3. Карантин 18B63D31A61CAD41E3A3101188815CCB [not-a-virus:AdWare.Win32.Agent.kbtm, not-a-virus:AdWare.Win32.AdAgent.ks ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 26.08.2016, 12:06
    4. Ответов: 14
      Последнее сообщение: 20.10.2014, 20:19
    5. Ответов: 6
      Последнее сообщение: 17.05.2014, 22:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00248 seconds with 22 queries