Показано с 1 по 18 из 18.

Прилип Winantivirus (заявка № 5964)

  1. #1
    Vik625
    Guest

    Прилип Winantivirus

    На форум DrWeb вышел со своей проблемой: периодически произвольно вылетает окно IE начиная с http://scanner.sysprotect.com....
    Далее появляются окна с запугиванием незащищенности системы и предложением что-то скачать.
    Последовательное закрытие этих окон приводит к окну www.winantivirus.com...
    Закономерность в периоде выскакивания или с выходом на какой-то сайт - не установил.
    DrWeb ничего не показывает, подписался на бета VBA32, тот нашел несколько файлов-троянов, которые я, к сожалению, удалил.
    Однако их удаление основную проблему не устранило. Начал выполнять советы http://helpme.virusinfo.info/.
    Сейчаc остановился вот на чем:
    AVZ ничего не показал.
    Ad-Aware ругается на:
    HKEY_CLASSES_ROOT:clsid\{e291663a-2d6f-4b56-b9df-ae239aef6a5b}
    Однако Ad-Aware этот раздел реестра не удаляет. Я тоже без консультации не рискую.
    Когда смотрел реестр, в этих разделах нашел ссылку на:
    c:\\Windows\system32\pmnlm.dll
    На другом компьютере такой dll нет.
    Здесь посмотрел ситуацию, которую описывает Kostoprav - вроде бы не моя.
    Достаточно ли информации для того, чтобы дать совет?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Логи по правилам сделайте. Будь ласка.

    А подозрительный файл пришлите. Опять же по правилам (см. Приложение 2).

  4. #3
    Vik625
    Guest

    Логи

    Логи послал, pmnlm.dll имеет размер 582 кб - пока не выслал.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 31.07.2006 в 14:15. Причина: Логи нужно не присылать, а прикреплять к теме !!

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Судя по анализу логов C:\WINDOWS\system32\pmnlm.dll - кандидат номер 1 на изучение. Присылайте его согласно правилам, посмотрим, что это за зверь ...

  6. #5
    Vik625
    Guest

    Вредоносный

    Вредоносный?

  7. #6
    Vik625
    Guest

    Что-то не так

    Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Vik625
    Что-то не получается прикрепить файл. С отсылкой было проще. Нажал скрепочку, указал файл, нажал загрузить, в списке вложений увидел фай нужной длины, нажал закрыть окно. Нажимаю ответить, но не вижу, что файл отправлен.
    Как раз файл нужно не прикреплять, а прислать, как написано в правилах.

  9. #8
    Vik625
    Guest

    Выслал

    Файл выслал

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Vik625
    Файл выслал
    Файл пришел ... Это зловред, AdWare.Win32.Virtumonde.gen по классификации ЛК
    Рецепт:
    1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
    2. Отложенным удалением AVZ прибить этот файл. Автоматом удалится ключ в Winlogon, но на всякий случай в менеджере расширений Winlogon AVZ нужно в этом удостовериться и при шеобходимости добить ключ вручную
    3. Перезагрузиться, не выходя из AVZ и не отключая AVZ Guard
    -----------
    После этого стоит снова снять логи и поместить сюда - для контроля.

  11. #10
    Vik625
    Guest

    Отложенное...

    Что такое отложенное удаление - карантин?
    И заодно вопрос: а простое удаление dll и разделов реестра недопустимы?

  12. #11
    Vik625
    Guest

    Отложенное удаление

    отложенное удаление нашел. Файл пропал, в реестре записи остались. Не нашел "менеджер расширений Winlogon". Сделаеще одну попытку...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Vik625
    отложенное удаление нашел. Файл пропал, в реестре записи остались. Не нашел "менеджер расширений Winlogon". Сделаеще одну попытку...
    A AVZ это "Сервис"/"Менеджер автозапуска" - там слева в древовидном списке выбрать "Winlogon". Прибить ключ реестра можно и без AVZ ... а вот удаление файла лучше делать как описано - часто прописывающиеся в Winlogon звери агрессивно защищают свои ключи в реестре (к примеру за счет их пересоздания с частотой раз 20 в секунду) и файлы на диске.

  14. #13
    Vik625
    Guest

    Добил

    Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
    Остались вопросы:
    - получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
    - и все-таки, могут ли антивирусные программы бороться с вредоносными?
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Vik625
    Похоже добил. DLL удалил как рекомендовано, реестр вычистился при помощи AD-Aware. Если получилось, то к этому сообщению прикрепил логи.
    Остались вопросы:
    - получилось бы, если удалял все вручную? Сначала DLL, а потом вычистил бы реестр?
    - и все-таки, могут ли антивирусные программы бороться с вредоносными?
    По логам - файл в логах отсуствует, значит почищено все нормально
    По поводу вопросов:
    Алгоритмов ручного удаления тут два:
    1. Удаление DLL через отложенное удаление (или загрузившись с загрузочного CD с чем-то типа ERD Commander, или подключив свой HDD к чистому ПК). Потом перезагрузка и чистка реестра. Отложенное удаление (или перечисленные методы) необходимо, так как стереть загруженную DLL невозможно. Как вариант, иногда можно удалить файл в защищенном режиме
    2. Чистка реестра, перезагрузка. После этого DLL не загрузится и ее можно прибить
    Это все срабатывает в случае, если зловред не защищается от уничтожения. Если защищается - все несколько ложнее.

    Антивирусы могут бороться с такими зловредами - просто в вирлаб VBA не попадал данный зверь, поэтому в базе нет его сигнатур. Добавят - будет ловить ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А вот Dr.Web его знает, как оказалось. Может быть, не так давно, как хотелось бы.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    По Trojan.Virtumod после 2006-07-28 12:29 изменений не было.
    Возможно, у Vik625 движок либо базы старые, потому и не ловит.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Первый пост на drweb.ru был существенно до 28 июля. А к указанной дате Доктор был уже снесён в пользу VBA.

  19. #18
    Vik625
    Guest

    Похоже чисто

    Спасибо за помощь.

  • Уважаемый(ая) Vik625, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan Win32 Ddox ci прилип как банный лист
      От maevets в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.07.2011, 16:58
    2. прилип monderb.gjo и модификации
      От Alsem в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:58
    3. winantivirus Pro 2007 - что делать
      От Martyn в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 22.02.2009, 02:15
    4. Errorsave vs winantivirus
      От TIvan в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:15
    5. WinAntiVirus+porno надоело!!!
      От Marina_Bel в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00255 seconds with 20 queries