Здравствуйте!
Я хотел спросить насколько опасен вирус PUM.UserWLoad. У меня стоит AVG Internet Security 2013 и этого вируса не находит. Обнаружил его [I]Malwarebytes. [/I]Что мне в такой ситуации стоит предпринять?
Заранее спасибо!
Влад
Printable View
Здравствуйте!
Я хотел спросить насколько опасен вирус PUM.UserWLoad. У меня стоит AVG Internet Security 2013 и этого вируса не находит. Обнаружил его [I]Malwarebytes. [/I]Что мне в такой ситуации стоит предпринять?
Заранее спасибо!
Влад
Уважаемый(ая) [B]Vlado[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
При проверке с помощью AVZ i HiJack вроде ничего опасного не высветилось..
Вот логи
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\User\LOCALS~1\Temp\cciuey.exe','');
DeleteFile('C:\Users\User\LOCALS~1\Temp\cciuey.exe','32');
INIEraseParam('C:\Windows\win.ini','windows','load');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
F3 - REG:win.ini: load=C:\Users\User\LOCALS~1\Temp\cciuey.exe
O3 - Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Не могу прислать карантин, пишет:
[I]Результат загрузки
Ошибка загрузки. Данный файл уже был загружен[/I]
в HiJackThis удалось пофиксить только О3, F3 фикситься не хочет
Еще на рабочем столе создалась папка backups с 3 файлами
backup-20130815-134554-550
backup-20130815-134554-633
backup-20130815-134704-280
Выполните еще раз скрипт из 5 сообщения только в этот раз AVZ запускайте через контекстное меню проводника от имени Администратора. После этого сделайте новые логи.
Сделал так как Вы сказали.. все равно не фиксит F3
Запустите редактор реестра, верните права на ветку [B]HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows[/B] и удалите параметр [B]Load[/B]
Я очень сильно извиняюсь, а вернуть права на ветку - это значит просто найти данное место в реестре?... а то я уже зашел сюда HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows... сейчас мне просто нужно удалить Load, правильно?
[url]http://safezone.cc/forum/showthread.php?t=19701[/url]
Кажется получилось.. спасибо огромное за Ваши усилия!!
Вот логи чтоб убедиться..
Порядок
Спасибо огромное еще раз!! Очень опасный был вирус?
Скорее остатки вируса, который скрывает файлы и папки на флешке
Понятно! Еще один последний вопрос, чтоб уже не открывать новую тему... в диспетчере задач три странных процесса: winlogon.exe, csrss.exe и atieclxx.exe.. мои сомнения вызывает то, что не указано имя пользователя и я не могу посмотреть расположение этих файлов когда нажимаю правой кнопкой.. Вот скрин:
Системные файлы.
Первые два это системные процессы, третий от AMD External Events. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Ничего не высветилось.. значит беспокоиться ни о чем не стоит? Меня просто смутило то, что эти три файла в диспетчере задач показаны без пользователя и без описания, поэтому хотелось убедиться должно ли так быть или нет.
Спасибо Вам огромнейшее за помощь!!!!! :)
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]