Показано с 1 по 18 из 18.

Прилип Winantivirus (заявка № 5964)

  1. #1
    Vik625
    Guest

    Прилип Winantivirus

    На форум DrWeb вышел со своей проблемой: периодически произвольно вылетает окно IE начиная с http://scanner.sysprotect.com....
    Далее появляются окна с запугиванием незащищенности системы и предложением что-то скачать.
    Последовательное закрытие этих окон приводит к окну www.winantivirus.com...
    Закономерность в периоде выскакивания или с выходом на какой-то сайт - не установил.
    DrWeb ничего не показывает, подписался на бета VBA32, тот нашел несколько файлов-троянов, которые я, к сожалению, удалил.
    Однако их удаление основную проблему не устранило. Начал выполнять советы http://helpme.virusinfo.info/.
    Сейчаc остановился вот на чем:
    AVZ ничего не показал.
    Ad-Aware ругается на:
    HKEY_CLASSES_ROOT:clsid\{e291663a-2d6f-4b56-b9df-ae239aef6a5b}
    Однако Ad-Aware этот раздел реестра не удаляет. Я тоже без консультации не рискую.
    Когда смотрел реестр, в этих разделах нашел ссылку на:
    c:\\Windows\system32\pmnlm.dll
    На другом компьютере такой dll нет.
    Здесь посмотрел ситуацию, которую описывает Kostoprav - вроде бы не моя.
    Достаточно ли информации для того, чтобы дать совет?

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Логи по правилам сделайте. Будь ласка.

    А подозрительный файл пришлите. Опять же по правилам (см. Приложение 2).

  4. #3
    Vik625
    Guest

    Логи

    Логи послал, pmnlm.dll имеет размер 582 кб - пока не выслал.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 31.07.2006 в 14:15. Причина: Логи нужно не присылать, а прикреплять к теме !!

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Судя по анализу логов C:\WINDOWS\system32\pmnlm.dll - кандидат номер 1 на изучение. Присылайте его согласно правилам, посмотрим, что это за зверь ...

  6. #5
    Vik625
    Guest

    Вредоносный

    Вредоносный?

  7. #6
    Vik625
    Guest

    Что-то не так

    Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Цитата Сообщение от Vik625
    Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.
    Как раз файл нужно не прикреплять, а прислать, как написано в правилах.

  9. #8
    Vik625
    Guest

    Выслал

    Файл выслал

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Vik625
    Файл выслал
    Файл пришел ... Это зловред, AdWare.Win32.Virtumonde.gen по классификации ЛК
    Рецепт:
    1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
    2. Отложенным удалением AVZ прибить этот файл. Автоматом удалится ключ в Winlogon, но на всякий случай в менеджере расширений Winlogon AVZ нужно в этом удостовериться и при шеобходимости добить ключ вручную
    3. Перезагрузиться, не выходя из AVZ и не отключая AVZ Guard
    -----------
    После этого стоит снова снять логи и поместить сюда - для контроля.

  11. #10
    Vik625
    Guest

    Отложенное...

    Что такое отложенное удаление - карантин?
    И заодно вопрос: а простое удаление dll и разделов реестра недопустимы?

  12. #11
    Vik625
    Guest

    Отложенное удаление

    отложенное удаление нашел. Файл пропал, в реестре записи остались. Не нашел "менеджер расширений Winlogon". Сделаеще одну попытку...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Vik625
    отложенное удаление нашел. Файл пропал, в реестре записи остались. Не нашел "менеджер расширений Winlogon". Сделаеще одну попытку...
    A AVZ это "Сервис"/"Менеджер автозапуска" - там слева в древовидном списке выбрать "Winlogon". Прибить ключ реестра можно и без AVZ ... а вот удаление файла лучше делать как описано - часто прописывающиеся в Winlogon звери агрессивно защищают свои ключи в реестре (к примеру за счет их пересоздания с частотой раз 20 в секунду) и файлы на диске.

  14. #13
    Vik625
    Guest

    Добил

    Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
    Остались вопросы:
    - получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
    - и все-таки, могут ли антивирусные программы бороться с вредоносными?
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Vik625
    Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
    Остались вопросы:
    - получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
    - и все-таки, могут ли антивирусные программы бороться с вредоносными?
    По логам - файл в логах отсуствует, значит почищено все нормально
    По поводу вопросов:
    Алгоритмов ручного удаления тут два:
    1. Удаление DLL через отложенное удаление (или загрузившись с загрузочного CD с чем-то типа ERD Commander, или подключив свой HDD к чистому ПК). Потом перезагрузка и чистка реестра. Отложенное удаление (или перечисленные методы) необходимо, так как стереть загруженную DLL невозможно. Как вариант, иногда можно удалить файл в защищенном режиме
    2. Чистка реестра, перезагрузка. После этого DLL не загрузится и ее можно прибить
    Это все срабатывает в случае, если зловред не защищается от уничтожения. Если защищается - все несколько ложнее.

    Антивирусы могут бороться с такими зловредами - просто в вирлаб VBA не попадал данный зверь, поэтому в базе нет его сигнатур. Добавят - будет ловить ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А вот Dr.Web его знает, как оказалось. Может быть, не так давно, как хотелось бы.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    По Trojan.Virtumod после 2006-07-28 12:29 изменений не было.
    Возможно, у Vik625 движок либо базы старые, потому и не ловит.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Первый пост на drweb.ru был существенно до 28 июля. А к указанной дате Доктор был уже снесён в пользу VBA.

  19. #18
    Vik625
    Guest

    Похоже чисто

    Спасибо за помощь.

  • Уважаемый(ая) Vik625, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan Win32 Ddox ci прилип как банный лист
      От maevets в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.07.2011, 16:58
    2. прилип monderb.gjo и модификации
      От Alsem в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:58
    3. winantivirus Pro 2007 - что делать
      От Martyn в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 22.02.2009, 02:15
    4. Errorsave vs winantivirus
      От TIvan в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:15
    5. WinAntiVirus+porno надоело!!!
      От Marina_Bel в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01182 seconds with 22 queries