PDA

Просмотр полной версии : Опасный SpyWare Spy.WinAd



Зайцев Олег
19.10.2004, 12:38
По моей статистике существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win98).
Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре

Alexey P.
22.10.2004, 22:42
Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).

( http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6790&130 )

Alexey P.
23.10.2004, 00:52
Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).

Народ отозвался:
From: Andrey Melnikoff <temnota+news(ats)kmv.ru>

> Проявлением Spy.Winad является появление в памяти двух
> посторониих процессов, причем с опцией "неубиваемости" - при
> удалении процесс немедленно перезапускается.
Касперский 4.5 героически умирает, при попытке их прибить. Лучше всего - берем far 170b5 идем в process list, выделяем (!sic) ненужные процессы и давим F8. Помогает на ура.

Обычно живет в Program Files\Winad_Client\ с именами:
ClientCom.dll,WinClt.exe,Winad.exe

Sanja
23.10.2004, 23:47
каспером 5.0 сносится на ура...

и судя по всему этот АД распространяется через лсасс т.к друг купил комп и через 3 часа после установки виндовса он меня уже просил посмотреть в чем дело :)
дело оказалос в 43 вирусах которые разными путями попали к нему :)

24.10.2004, 01:39
каспером 5.0 сносится на ура...


Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(

Sanja
24.10.2004, 11:47
расширенные базы поставь

Зайцев Олег
24.10.2004, 18:42
Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(

Касперский действительно не ловит SpyWare/AdvWare с обычной базой. Для загрузки расширенных нужно использовать URL типа этого - http://updates1.kaspersky-labs.com/updates_x (в хвост добавив "_x"). Но с расширенной базой нужно работать очень осторожно - в категории RiskWare очень много полезных программб поэтому "лечение" расширенной базой компьютера может угробить массу приложений. Кроме того, у Касперского нет категории SpyWare - этот самый WinAd идет как not-a-virus.AdvWare.WinAd

azza
29.10.2004, 20:19
Новые названия:
1. C:\Program Files\Win Comm
Wincomm.exe, Winlock.exe, Windat.dll
2. C:\Program Files\Windows AdTools
WinAdTools.exe, WinRatchet.exe, WinWrench.dll

Ответ ДрВеба:

это все Adware-программы. Удаляются стандартными средствами ОС через Add/Remove Programs :(

Зайцев Олег
29.10.2004, 20:49
Ответ ДрВеба: ...

Аналогично Касперский - категория AdvWare (хотя изначально они включили ее в разряд троянов), причем ловит AVP не все разновидности. Причем как соотнести удаление autoexеc.bat (это же по идее троянская функция), скрытную установку и отсутствие удаление (я реально вычистил WinAd не менее чем с 3 ПК - ни на одном он не был в списке "Установка-удаление программ"), "неубиваемость" за счет использования двух процессов ... но доказать производителю антивиря это нереально - я неоднократно пробовал с нулевым результатом.
Замечу, что WinAd есть не только под именем Win Comm - я сегодня поймал еще два аналог - сайт-источник то-же, но разные имена процессов и их сигнатуры

Geser
29.10.2004, 21:15
Такие вещи лучше отправлять разработчикам ad-aware. Они добавляют всё как положено http://www.lavasofthelp.com/submit/ А ДрВеб даже порнозвонилки добавлять не хотят.

azza
29.10.2004, 21:49
Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.

Geser
29.10.2004, 21:53
Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.

Отправь ещё раз только трояны. Кстати, ad-awar-овцы и трояны тоже добавляют. Так что можешь им кинуть весь архив. Если у них нет ограничения на размер файла.

Зайцев Олег
29.10.2004, 23:46
Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.

Можешь послать их мне на [email protected] (ограничений на объем там нет) - любопытно посмотреть, что это за зверье - может, что-то новое. Особенно интересны версии WinAd - он "прогрессирует" на глазах, скоро будет как IstBar - по три версии в неделю :(

Зайцев Олег
30.10.2004, 17:39
Ну вот, от azza пришел архив и я его посмотрел. Сразу детектируется
TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r. Плюс куча SpyWare - Spy.Winad новых типов (в папке Program Files\Windows AdTools\ и bridge-c46[2].cab (это ActiveX - его инсталлер) и Program Files\Win Comm\).
Далее наблюдаются еще два шпиона Spy.BetterInternet, Spy.180Solutions и интересный файлик - ide21201.vxd размером 4 кб. Я уже неоднократно его вычищал с разных ПК, зараженных SpyWare, в лаборатории Касперского по его поводу ничего не сказали ... virustotal по всем позициям говорит "чист". По структуре это "Linear Executable", по флагам заголовка - "Prot. Virt. Dev. Driver", по данным дизассемблера - это драйвер, ведет обмен через некие порты ввода вывода ... зачем он нужен SpyWare - загадка. Могу сбросить его всем, желающим поковырять его дизассемблером :)

Зайцев Олег
01.11.2004, 12:24
Да, WinAd ширится и множится - за три дня я занес в базы AVZ еще три новые его разновидности - B, C, D. Новые разновидности "живут" в папках Win Comm и Windows AdTools

10.11.2004, 17:48
Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
Сейчас расскажу как это было.
Итак, я искал какой-то крэк-файл для моего любимого Flash&#039;a,
и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
а значок с двумя компами непрерывно горит, как будто что-то грузится и
мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
там два странных процесса - WinAdTools.exe и WinRatchet.exe.
Они не завершаются, а после перезагрузки процессы снова работают.
Если я удаляю ключ запуска с виндой hklm\software\microsoft\windows\currentversion\run WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
,adtools автоматически не запустится и его можно спокойно удалить.
Папки в которых он сидит я нашел только Program Files\Windows AdTools и
Windows\Downloaded Program Files, где сидит его CLSID. В реестре просто набирайте "Поиск\AdTools" и сносите все ключи, понаделанные этим гадом.
После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.

И вообще - совет, если что, сносите всю гадость из реестра или переустанавливайте Windows XP. Разбейте диск на разделы,
в которых на одном будет операционка и системные проги, а на другом -
все нужные вам файлы. Если что, форматируйте диск C, а все ваши файлы
останутся на диске D. НО - НИКОГДА не храните ничего важного в папке
"Мои документы". После переустановки попасть в них очень сложно из-за ACL под WinXP.

10.11.2004, 18:08
м-да, хорошо что еще не придумали вируса, который бы скрытно
менял настройки BIOS&#039;а или программно отключал вентиляторы.
Потрясающий был бы эффект: CPU Core Voltage на сверхмаксимальное значение и...звиздец компьютеру... :o

11.11.2004, 16:12
Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...:))))))).
А если еще его прочесть....
Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ ::), и ещё,
что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...

Зайцев Олег
11.11.2004, 16:35
Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...:))))))).
А если еще его прочесть....
Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ ::), и ещё,
что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...

Это нормально :)
Причем чем погаей шпион, тем объемнее у него пользовательское и лицензионное соглашение ...

Зайцев Олег
15.11.2004, 17:09
Ну вот, Gesser поймал и прислал мне новый тип WinAd (в базы AVZ он попал как Spy.WinAd.e). На сей раз файлы называются WinAdCtl.exe (25088 байт) и WinAdShift.dll (60416 байт), оба сжаты UPX. Сайт источник прежний - http://www.windupdates.com/. В ходе работы он создает файлик в ide21201.vxd в папке System, он хранится в хвосте WinAdCtl.exe. Стартует WinAd типично - ключ автозагрузки в реестре.
Как и ранее, WinAd неравнодушен к autoexec.nt ...

qantrom
15.11.2004, 21:53
Короче монстр вернулся. я писал в топике "битдефендер" http://kadets.info/showthread.php?t=10496&page=11&pp=30
http://kadets.info/showthread.php?p=167055#post167055
о том ,что поставил паралельно битдефендер с маккафи.Короче WinAdCtl убил в два счёта СМакафи споследними базами,вырубив всё что только возможно.Битдефендер его видит и якобы удаляет,но через мгновение появляются ДВА WinAdCtl.exe,и перегружают систему так,что нихрена не движится.Причём проц не грузиться,а вот память на максимуме.В прошлый раз помогла прога Зайцева Олега ,но на сей раз только определила семейство winad.Удалить не смогла так как небыл определён вирус.
Кстати одинакого не видят и каспер и веб,так что убрать её можно только ручками , в безопасном режиме с основательной чисткой реестра.
Установил точно , залезла в комп с сайта www.freeserials.com
Так что смотрите.
Да чуть не забыл.Появляется папка темп,не виндовская,и в ней селятся ещё два трояна.Ета хрень мутирует на глазах и порождает троянов.

Geser
15.11.2004, 22:01
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе http://virusinfo.info/index.php?board=26 с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

qantrom
15.11.2004, 22:09
Posted by: Geser Posted on: Сегодня в 22:01:47
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе http://virusinfo.info/index.php?board=26 с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.

Geser
15.11.2004, 22:15
Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.

А ты уверен что у тебя не живёт ещё кто-то? :)
Если после удаления файлы появляются, значит нужно искать того кто их создаёт.

qantrom
15.11.2004, 22:29
Уверен на все сто.Помнишь как я ловил вирус отключавший монитор у Каспера ? Точно так же я определил откуда я теперь поймал вирус.
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

Geser
15.11.2004, 22:34
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

Давай лог, посмотрим :)

qantrom
15.11.2004, 22:40
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

Geser ,куда грузить лог ?
Пожоже я опять погорячился,эта сволочь всёже сидит в компе.

Geser
15.11.2004, 22:44
Открой тему тут http://virusinfo.info/index.php?board=26

16.11.2004, 09:39
у меня на одной из тачек тоже эта хрень есть, тока файло другое: в папке c$\Program Files\Windows AdControl
WinAdAlt.exe
WinAdCtl.exe
WinAdShift.dll
юзер говорит сам ставил штатно, нужна мол эта хрень и всё ...
файло заблокировано на удаление и изменене ... тоже поразбираюсь ...

16.11.2004, 10:40
Вобщем прога никак не сносилась ... антивири не видели ничего подозрительного... файло не стиралась ... в реестре после сноса авторана этой гадости появлялась через 1 сек ....
короче запустил я C:\pfXP\processExplorer\procexp.exe v8.10 на том компе, кильнул winadctr.exe - а он перезапустился гад ... я опять... он опять ... и нажал я тода не кильнуть процесс а пункт меню "suspend" :-))).
и процесс приснул... ну я тода его братишку - "winadalt.exe" и прибил...
и не смог он перезапустится и сдох на совсем ... особоенно после сноса ево папки в \\программ файлис\\... и чистки разделов реестра типа РУН...
пока не появился ещё ... в общем всё !
З.Ы. разминка с утра прикольная получилась... теперь вод думаю, а вдруг это правда была нужная прога !!!

16.11.2004, 14:56
Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?

Зайцев Олег
16.11.2004, 15:35
Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?

Это судя по всему логи Windows, опасности они не несут

16.11.2004, 16:30
мой юзверь пытался опять клацать по ссылке в инете этим вингадом, а она почемуто у него зарубленная оказалась :-))))))... так и не занёс он досих пор ентот вирь ... мы-то терь знаем как его рубить с корнем !!!

16.11.2004, 16:52
Это судя по всему логи Windows, опасности они не несут

Да, текстовые файлы опасны только в качестве "психологических вирусов" :).
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?

Зайцев Олег
16.11.2004, 17:09
Да, текстовые файлы опасны только в качестве "психологических вирусов" :).
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?

Система Win9x ?? Находятся они в папке APPLOG ?? Если так, то злобный вирус - это Windows 9x - в этих файлах система хранит данные по всем программам (какие библиотеки они используют, какие-то данные по памяти ... ) - для оптимизации последующих запусков. Естественно, если winad работал на компьютере, то для каждого exe е его составе система сделает LGC файл

17.11.2004, 08:20
Понятно. Спасибо за информацию.

Phillon
21.11.2004, 17:34
Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.

azza
21.11.2004, 18:39
Autoexeс удаляется, потому что в нём можно прописать удаление winad&#039;овских файлов перед стартом Windows.

Зайцев Олег
21.11.2004, 18:57
Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.

Логика создателей WinAd странная - скорее всего azza прав, многие антивирусы (и пользователи) используют autoexec для уничтожения "неудаляемых" файлов. Убивая autoexec WinAd борется с этим ... хорошо еще, что создатели WinAd не додумались снести полреестра - на всякий случай :) Другое странно - удаление autoexec - явная троянская функция, но Касперский и остальные WinAd не причисляют к троянам

Sanja
21.11.2004, 20:42
никто так не делает.. из антивирусов через autoexec... может Ad-Aware так делает...

в NT based systemah faili udlayutsa posle perezagruzki ispolzuja
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/fileio/base/movefileex.asp

v 9x - propisivaniem faial v wininit.ini sectsija rename

Зайцев Олег
22.11.2004, 14:14
WinAd ширится и множится - сегодня в мои базы попала 53-я разновидность WinAd :)

pig
22.11.2004, 14:19
Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.
Ну так и возьмите его. Если сами ничего в autoexec.nt не меняли, то имеете идентичную копию.

27.11.2004, 04:24
Вот сам недавно стал "жертвой" WinAd. Начитался всего того что вы пытаетесь делать с ентой гадостью. Но в общем это не помогает решать проблему и вот в поисках по сети набрел на программку - http://anmaef.ru/master/programs/ad_aware/ad-aware.exe и она хорошо убивает эту и подобные ей программки.
А вот к ней еще и русификатор - http://anmaef.ru/master/programs/ad_aware/rus.zip

Удачи Всем, если кому поможет.

pig
27.11.2004, 04:35
Ad-Aware лучше брать на её родном сайте. http://www.lavasoft.de/ - если не ошибаюсь.

27.11.2004, 18:03
Вобщем прога никак не сносилась ... антивири не видели ничего подозрительного... файло не стиралась ... в реестре после сноса авторана этой гадости появлялась через 1 сек ....
короче запустил я C:\pfXP\processExplorer\procexp.exe v8.10 на том компе, кильнул winadctr.exe - а он перезапустился гад ... я опять... он опять ... и нажал я тода не кильнуть процесс а пункт меню "suspend" :-))).
и процесс приснул... ну я тода его братишку - "winadalt.exe" и прибил...
и не смог он перезапустится и сдох на совсем ... особоенно после сноса ево папки в \\программ файлис\\... и чистки разделов реестра типа РУН...
пока не появился ещё ... в общем всё !
З.Ы. разминка с утра прикольная получилась... теперь вод думаю, а вдруг это правда была нужная прога !!!

Могут помочь Norton 2005 и System Mechaic PRO 5.0c StartupGuard

Geser
27.11.2004, 18:04
Могут помочь Norton 2005 и System Mechaic PRO 5.0c StartupGuard

Вряд ли.

27.11.2004, 18:13
Вряд ли.

В натуре, могут. NAV 2005 убивает все файлы, кроме одного - не может, а Guard препятствует внесению изменений в секции автозапуска в реестре (его самого - надо на автозапуск). После - reboot и удаляем последний файл - что-то вроде *browser_helper.dll

Geser
27.11.2004, 18:17
В натуре, могут. NAV 2005 убивает все файлы, кроме одного - не может, а Guard препятствует внесению изменений в секции автозапуска в реестре (его самого - надо на автозапуск). После - reboot и удаляем последний файл - что-то вроде *browser_helper.dll

Этого дела выходит по 5 модификаций в неделю. Нортон вообще такие вещи плохо ловит. Одну модификацию мож и ловит, а десять скорее всего нет :)

30.11.2004, 21:44
Недавно подхватил эту заразу :) Причем не пойму точно как....
т.к. на freeserials лазил довольно давно уже...
и вроде ничего такого небыло...
но недавное у меня побывал "гость" из нашей внутренней сетки и напомнил что после последней переустановки я не удосужился поставить пароль на администратора :( (совсем лохой стал )
Короче после этого появились в запущенных процессах эта парочка Winadctl и WinadShift вроде :)
убил их достаточно просто ...запускаем XPTweaker запрещаем автозапуск програм в Local Machine Run, Local Machine Run Once, Current User Run, Current User Run Once....
после перезагрузки убил папку с файлами и удалил из автозапуска эту гадость тем же XPTweaker, после разрешил автозапуск и перезагрузил...
вроде все..... :)

Alexey P.
06.01.2005, 05:43
WinAd ширится и множится - сегодня в мои базы попала 53-я разновидность WinAd :)

Пора новую скачивать - на static.windupdates.com ни одна зараза не детектится.

Зайцев Олег
06.01.2005, 10:45
Пора новую скачивать - на static.windupdates.com ни одна зараза не детектится.

Я уже работаю над этим :)
Не далее как вчера я внес в апдейт от 5.01.2005 штук двадцать новых WinAd модулей. Примечательно, что Google по ссылке http://www.google.ru/search?hl=ru&q=static.windupdates.com&lr= дает нуль результатов !!! Только ссылку на официальный сайт :)

Alexey P.
06.01.2005, 12:01
Я уже работаю над этим :)
Не далее как вчера я внес в апдейт от 5.01.2005 штук двадцать новых WinAd модулей. Примечательно, что Google по ссылке http://www.google.ru/search?hl=ru&q=static.windupdates.com&lr= дает нуль результатов !!! Только ссылку на официальный сайт :)

Это у них после червя появилось, который сайты подменял.
Там меню дополнительное появилось, в котором надо выбрать "Найти страницы, которые содержат это слово "static.windupdates.com". Тогда уже будут результаты.

Зайцев Олег
06.01.2005, 12:14
Это у них после червя появилось, который сайты подменял.
Там меню дополнительное появилось, в котором надо выбрать "Найти страницы, которые содержат это слово "static.windupdates.com". Тогда уже будут результаты.

Это я торможу :) Я естестенно забыл о том, что они приняли меры для борьбы с нашумевшим червяком .... действительно, в расширенном поиске все работает.

Alexey P.
06.01.2005, 18:47
Из Kaspersky Lab ответили о новом WinAd:
---------------------------------------------
Уже добавлены в базы как WinAD.n
Детектирование будет опубликовано завтра.
---------------------------------------------
Видимо, тестят.

Alex McGal
20.01.2005, 14:33
вести с полей
1. наткнулся на версию - Admilli
все симптомы совпадают, думаю это тоже WinAd
2. другой случай
выводится сообщение о невозможности запуска со ссылкой на config.nt
НО при этом все на месте и command.com и autoexe.nt и config.nt
и никаких сигналов от антивирусов не поступает
замена файлов на оригинальные непомогла

наше дос-приложение широко распространено в узких кругах и мне приходится часто сталкиваться с WinAd

Geser
20.01.2005, 14:46
2. другой случай
выводится сообщение о невозможности запуска со ссылкой на config.nt
НО при этом все на месте и command.com и autoexe.nt и config.nt
и никаких сигналов от антивирусов не поступает
замена файлов на оригинальные непомогла

Если нужна помощь, то даваи логи.

аше дос-приложение широко распространено в узких кругах и мне приходится часто сталкиваться с WinAd
Что за приложение?

Alexey P.
22.01.2005, 20:11
вести с полей
1. наткнулся на версию - Admilli
все симптомы совпадают, думаю это тоже WinAd

WinAd снова поменялся. Уже not-a-virus:AdWare.WinAD.p (KAV). Плодовитая зараза.

Бешеная собака Пав
14.03.2005, 02:06
http://virusinfo.info/index.php?board=22;action=display;threadid=882
наверное клон появился...
эти то же не убивались, но я оч. быстро прибил процессы и тут же переназвал папку, а потом удалил..

Alex McGal2
15.04.2005, 20:34
2. другой случай
выводится сообщение о невозможности запуска со ссылкой на config.nt
НО при этом все на месте и command.com и autoexe.nt и config.nt
и никаких сигналов от антивирусов не поступает
замена файлов на оригинальные непомогла

Это снова я
и снова эта-же ситуация

в прошлый раз я торопился и переставил винду
в этот раз у меня есть выходные - буду мучать

лог чего и куда прислать

HATTIFNATTOR
15.04.2005, 20:40
http://virusinfo.info/index.php?board=26;action=display;threadid=20

Alex McGal2
15.04.2005, 21:10
так ???
http://virusinfo.info/index.php?board=26;action=display;threadid=1127