На форум DrWeb вышел со своей проблемой: периодически произвольно вылетает окно IE начиная с http://scanner.sysprotect.com....
Далее появляются окна с запугиванием незащищенности системы и предложением что-то скачать.
Последовательное закрытие этих окон приводит к окну www.winantivirus.com...
Закономерность в периоде выскакивания или с выходом на какой-то сайт - не установил.
DrWeb ничего не показывает, подписался на бета VBA32, тот нашел несколько файлов-троянов, которые я, к сожалению, удалил.
Однако их удаление основную проблему не устранило. Начал выполнять советы http://helpme.virusinfo.info/.
Сейчаc остановился вот на чем:
AVZ ничего не показал.
Ad-Aware ругается на:
HKEY_CLASSES_ROOT:clsid\{e291663a-2d6f-4b56-b9df-ae239aef6a5b}
Однако Ad-Aware этот раздел реестра не удаляет. Я тоже без консультации не рискую.
Когда смотрел реестр, в этих разделах нашел ссылку на:
c:\\Windows\system32\pmnlm.dll
На другом компьютере такой dll нет.
Здесь посмотрел ситуацию, которую описывает Kostoprav - вроде бы не моя.
Достаточно ли информации для того, чтобы дать совет?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.
Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.
Как раз файл нужно не прикреплять, а прислать, как написано в правилах.
Файл пришел ... Это зловред, AdWare.Win32.Virtumonde.gen по классификации ЛК
Рецепт:
1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
2. Отложенным удалением AVZ прибить этот файл. Автоматом удалится ключ в Winlogon, но на всякий случай в менеджере расширений Winlogon AVZ нужно в этом удостовериться и при шеобходимости добить ключ вручную
3. Перезагрузиться, не выходя из AVZ и не отключая AVZ Guard
-----------
После этого стоит снова снять логи и поместить сюда - для контроля.
отложенное удаление нашел. Файл пропал, в реестре записи остались. Не нашел "менеджер расширений Winlogon". Сделаеще одну попытку...
A AVZ это "Сервис"/"Менеджер автозапуска" - там слева в древовидном списке выбрать "Winlogon". Прибить ключ реестра можно и без AVZ ... а вот удаление файла лучше делать как описано - часто прописывающиеся в Winlogon звери агрессивно защищают свои ключи в реестре (к примеру за счет их пересоздания с частотой раз 20 в секунду) и файлы на диске.
Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
Остались вопросы:
- получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
- и все-таки, могут ли антивирусные программы бороться с вредоносными?
Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
Остались вопросы:
- получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
- и все-таки, могут ли антивирусные программы бороться с вредоносными?
По логам - файл в логах отсуствует, значит почищено все нормально
По поводу вопросов:
Алгоритмов ручного удаления тут два:
1. Удаление DLL через отложенное удаление (или загрузившись с загрузочного CD с чем-то типа ERD Commander, или подключив свой HDD к чистому ПК). Потом перезагрузка и чистка реестра. Отложенное удаление (или перечисленные методы) необходимо, так как стереть загруженную DLL невозможно. Как вариант, иногда можно удалить файл в защищенном режиме
2. Чистка реестра, перезагрузка. После этого DLL не загрузится и ее можно прибить
Это все срабатывает в случае, если зловред не защищается от уничтожения. Если защищается - все несколько ложнее.
Антивирусы могут бороться с такими зловредами - просто в вирлаб VBA не попадал данный зверь, поэтому в базе нет его сигнатур. Добавят - будет ловить ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: