AdvWare.Win32.SaveNow.bi

Printable View

05.02.2012, 21:43
никита никитин

Вложений: 2

AdvWare.Win32.SaveNow.bi

Завелся такой вирус AdvWare.Win32.SaveNow.bi, касперский его ненаходит.

Пробовал сам его удалить так:

[CODE]begin
DeleteFile('C:\Program Files (x86)\VVSN\VVSN.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VVSN');
RebootWindows(true);
end.
[/CODE]

не удалился.

Логи
05.02.2012, 21:44
Info_bot

Уважаемый(ая) [B]никита никитин[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.02.2012, 15:36
никита никитин

Кроме Info_bot никто не хочет помочь?

У меня из-за этой фигни стал экран крвсным при загрузке и частично краный после загрузке.
06.02.2012, 16:39
mrak74

[QUOTE]У меня из-за этой фигни стал экран крвсным при загрузке и частично краный после загрузке.[/QUOTE] Попробуйте заменить кабель VGA / DVI (не знаю какой у вас) от видеокарты к монитору, иногда причина в нем.
07.02.2012, 17:10
Techno

[quote="никита никитин;864813"]вирус AdvWare.Win32.SaveNow.bi, касперский его ненаходит.[/quote]
А кто его находит???

[quote="никита никитин;864813"][CODE]begin
DeleteFile('C:\Program Files (x86)\VVSN\VVSN.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VVSN');
RebootWindows(true);
end.[/CODE][/quote]
Откуда скрипт?
09.02.2012, 17:00
никита никитин

Надо было срочно восстановить данные с диска я скачал с десяток программ, ни одна не подошла.
Удалил их за ненадобностью.

Резко экран стал красным, ага вирус подумал я, хотя странно на тот момент и щас стоял касперский с лицензией.
Касперский ненашел ничего, запустил AVZ он мне и показал врага, идентифицировал его как [B]AdvWare.Win32.SaveNow.bi [/B] это не совсем вирус но жинь испортит может экран до сих пор красный.

Я avz потыкал получился скрипт. Вроде удалил но краснота осталась.

Сегодня вот что нашел в [I]C:\Program Files (x86)[/I]

[QUOTE][URL1]
kind=cfg
URL=http://spweb.whenu.com/vvsn/SLAB090501/vsn.cfg
FileName=vsn.cfg
Status=D
Attempts=1
timeNextAttempt=20120205173903
[VVSN]
AllURL=1
AllRun=1
MachineID=C227A91C761648B38DC5A18CDEB8B4EF
[Run1]
kind=cfg
URL=1
BundleID=SLAB090501
PackageID=CFG
CmdLine=/d"Bad CD Repair PRO" /f"C:\Program Files (x86)\badcdrepair\Bad Cd Repair.exe"[/QUOTE]

это содержимое конфига который лежал в папке [B]VVSN[/B]
09.02.2012, 23:26
Никита Соловьев

Подготовьте лог МВАМ: [url]http://virusinfo.info/showthread.php?t=53070[/url]
10.02.2012, 15:37
никита никитин

МВАМ помог, удалил злодея.
[QUOTE]
C:\Users\pro\AppData\Roaming\winzipsoft\winzipv.exe (Trojan.FakeSMS) -> Помещено в карантин и успешно удалено.[/QUOTE]

Из-за него экран был красный щас нормально.

И еще поймал
[QUOTE]
C:\$Recycle.Bin\S-1-5-21-1221663569-311978119-124061841-1000\$RLEF598.exe (PUP.BundleInstaller.MG) -> Помещено в карантин и успешно удалено.
C:\Users\pro\Downloads\vnc.exe (HackTool.Agent) -> Помещено в карантин и успешно удалено.

Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Помещено в карантин и успешно удалено.
[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

123[SIZE=1][QUOTE]Malwarebytes Anti-Malware (Пробная версия) 1.60.1.1000
[url]www.malwarebytes.org[/url]

Версия базы данных: v2012.02.10.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
pro :: PRO-ПК [администратор]

Защитный модуль : Включен

2012-02-10 14:15:04
mbam-log-2012-02-10 (14-15-04).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 326998
Времени прошло: 46 минут , 7 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 3
C:\Users\pro\AppData\Roaming\winzipsoft\winzipv.exe (Trojan.FakeSMS) -> Помещено в карантин и успешно удалено.
C:\$Recycle.Bin\S-1-5-21-1221663569-311978119-124061841-1000\$RLEF598.exe (PUP.BundleInstaller.MG) -> Помещено в карантин и успешно удалено.
C:\Users\pro\Downloads\vnc.exe (HackTool.Agent) -> Помещено в карантин и успешно удалено.

(конец)[/QUOTE][/SIZE]