Показано с 1 по 11 из 11.

Dr. Web CureIt! нашел 4 вируса и не может их обезвредить [not-a-virus:HEUR:AdWare.Win32.AdAgent.gen ] (заявка № 204566)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    31

    Thumbs up Dr. Web CureIt! нашел 4 вируса и не может их обезвредить [not-a-virus:HEUR:AdWare.Win32.AdAgent.gen ]

    Доброго времени суток!

    Проверив нетбук "Dr. Web CureIt!", он нашел 4 малвари, вернее, 2, но расположены они в 2-ух местах:
    - Windows\System32\Drivers
    - Device\Harddiskvolume2\Windows\System32\Drivers

    Название файлов:
    - MPCBase.sys
    - MPCKpt.sys
    Dr. Web CureIt! запускает процедуру обеззараживания, но она длится до бесконечности и не завершается.
    Вирусы не удается удалить ни через Unlocker, ни вручную, ни через безопасный режим, а раздел "Device\Harddiskvolume2\Windows\System32\Drivers" не знаю, где находится.
    Данные файлы остались, после удаления программы MPC Cleaner, которая установилась по невнимательности пользователя с другим ПО.

    Просмотрев логи AVZ, хотел бы сказать, что:

    1)в таблице "Автозапуск" файлы
    - explorer "http://rizapse.ru/?utm_source=uoua03n&utm_content=f67890660e3d119ed9 60580406d2e9fe&utm_term=ACCC1B53C0CF68A54C9FB68DE5 74CCD7&utm_d=20160415"
    - E:\94bfe66f96b86c503ab5932bf1\DW\DW20.exe
    - C:\ProgramData\FWdsM

    мне не известны

    2)в таблице "Задания планировщика задач Task Scheduler" файлы
    - C:\Program Files\Yandex\YandexBrowser\16.7.1.20936\service_up date.exe
    - C:\ProgramData\KRB Updater Utility\krbupdater.exe
    - C:\Program Files\Kinoroom Browser\krbrowser.exe
    - aitagent
    - C:\Program Files\Yandex\YandexBrowser\16.7.1.20936\service_up date.exe

    хотелось бы удалить, т.к. эти программы давно не используются, а файл
    - C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugi n\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe
    выглядит подозрительным
    Вложения Вложения
    Последний раз редактировалось Bender Rodriguez; 05.10.2016 в 16:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Bender Rodriguez, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Леночка\AppData\Local\PowerMonitor\PowerMonitor.exe','');
     QuarantineFile('C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe','');
     QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
     QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
     QuarantineFile('C:\Windows\System32\drivers\MPCBase.sys','');
     DeleteFile('C:\Windows\System32\drivers\MPCBase.sys','32');
     DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uztjybebrk','command');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
     DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
     DeleteFile('C:\Users\Леночка\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\ABC9214D-F6CC-418B-925A-BFE3D39173CC\EB47BC16-9AA3-4697-9846-F7DDDCEDA57D.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AABC9214D-F6CC-418B-925A-BFE3D39173CC','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32');
     DeleteFile('C:\Users\Леночка\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\PowerMonitor','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    31
    Оба скрипта выполнил, карантин отправил, новые логи - вложил.
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    31
    Инструкцию выполнил, логи - приложил.
    Вложения Вложения

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKLM - No Name - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} -  No File
    Toolbar: HKU\S-1-5-21-2333438744-567831078-2471491056-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=811001","hxxp://www.trotux.com/?z=0c0fa20541b73c324fee599gbz4m7c4z6tag1eaq1b&from=wsy1&uid=WDCXWD3200BUDT-63DPZY0_WD-WX11E81J9064J9064&type=hp"
    S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X] <==== ATTENTION
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
    2016-08-15 20:30 - 2016-09-10 11:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-08-14 12:59 - 2016-08-26 09:42 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
    2016-08-14 12:59 - 2016-08-26 09:42 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
    Task: {06456CC5-5CAF-4505-9E16-4F38F4715BC6} - \PowerMonitor -> No File <==== ATTENTION
    Task: {2C61F048-72FA-4981-8A19-DCE105D489C8} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
    Task: {38B44B3C-2623-4A3E-8B2F-07F58A2BDDCA} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
    Task: {78DC8781-41F3-4B42-9CEA-09849B2600F5} - \Microsoft\Windows\AABC9214D-F6CC-418B-925A-BFE3D39173CC -> No File <==== ATTENTION
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    31
    Инструкцию выполнил, лог - приложил.
    Вложения Вложения

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #10
    Junior Member (OID) Репутация
    Регистрация
    09.12.2015
    Сообщений
    9
    Вес репутации
    31
    Вроде, да, т.к. те файлы, на которые ругался Dr. Web CureIt!, удалились. Спасибо.

  16. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\mpcbase.sys - not-a-virus:HEUR:AdWare.Win32.AdAgent.gen
      2. c:\windows\system32\drivers\mpckpt.sys - not-a-virus:HEUR:AdWare.Win32.AdAgent.gen


  • Уважаемый(ая) Bender Rodriguez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 20.10.2016, 01:56
    2. Карантин 405570958123302086F005B514C8F16E [not-a-virus:AdWare.Win32.AdAgent.ld, not-a-virus:AdWare.Win32.InstallMonster.jmsj ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 23.09.2016, 16:19
    3. Карантин 18B63D31A61CAD41E3A3101188815CCB [not-a-virus:AdWare.Win32.Agent.kbtm, Trojan-Downloader.Win32.AdLoad.qx= ty]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 26.08.2016, 12:06
    4. Ответов: 14
      Последнее сообщение: 20.10.2014, 20:19
    5. Ответов: 6
      Последнее сообщение: 17.05.2014, 22:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01596 seconds with 18 queries