Win32.LoadMoney и Funmoods

Printable View

29.11.2013, 14:31
ALERY

Вложений: 3

Win32.LoadMoney и Funmoods

Доброго времени.
___[B]Win32.LoadMoney[/B]
"Spybot-Search & Destroy 2.1" 15.11.2013(14:40) нашёл при полной проверке 5шт.(все высокой угрозы и все Win32.LoadMoney):
1.IE toolbar в HKEY_USERS\S-1-5-21-3657561249-101265881-2389969595-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{09900DE8-1DCA-443F-9243-26FF581438AF} тип Registry Value(Значение реестра),категория MalwareC.
2.Settings в HKEY_USERS\S-1-5-21-3657561249-101265881-2389969595-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09900DE8-1DCA-443F-9243-26FF581438AF} тип Registry Key(ключ реестра),категория MalwareC.
3.Settings в HKEY_USERS\S-1-5-21-3657561249-101265881-2389969595-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8984B388-A5BB-4DF7-B274-77B879E179DB} тип Registry Key(ключ реестра),категория MalwareC.
4.Data(данные)в C:\Documents and Settings\LocalService\Application Data\{DCD48218-E972-4d0c-9E5F-43462BC13E3B}\{9bed5ee2-0547-4706-8600-d3897629ade0} тип File(файл),категория MalwareC.
5.Program directory(Каталог программ)в C:\Documents and Settings\LocalService\Application Data\ {DCD48 218-E972-4D0C-9E5F-43462BC13E3B}\ тип Directory(каталог),категория MalwareC.
***Исправил (переместил в карантин), через некоторое время повторил проверку в 20:41(через 6 часов)опять нашёл 1шт.(высокой угрозы и Win32.LoadMoney)Settings в HKEY_USERS\S-1-5-21-3657561249-101265881-2389969595-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8984B388-A5BB-4DF7-B274-77B879E179DB} тип Registry Key(ключ реестра),категория MalwareC. Но он уже его находил (см.выше №3) !!! Опять исправил (перемещён в карантин).
24.11.2013 решил проверить наверняка и снова 1 шт. то же что и выше.
25.11.2013 опять та же картина!!!!, тот же параметр. В учебнике удаления Malware на оф.форуме(Forum:Malware Removal Guides-http://forums.spybot.info/forumdisplay.php?54-Malware-Removal-Guides) такого заражения нет вообще. [I]Вот такое непонятное поведение, то ли сканера, то ли ещё чего то.
[/I][B] ___Funmoods
[/B]Вчера проверял систему "HitmanPro", нашёл 6шт.неопасных\Traces=Следы\(заражения нет) и большинство касается Funmoods, выбрал действие "Игнорировать", для верности сегодня проверил МВАМ, также Funmoods, но уже конкретнее: PUP.FunMoods, PUP.Optional.InstallCore.A. Ранее о этих записях была инфо от "AdwCleaner", проигнорировал, а вчера вдруг перестала загружаться ОС, пришлось через Safe Mode откатить немного назад. Поэтому у Вас сегодня...
С уважением.
29.11.2013, 14:33
Info_bot

Уважаемый(ая) [B]ALERY[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.12.2013, 00:05
Techno

- [URL="http://virusinfo.info/showthread.php?t=146192"]Сделайте лог AdwCleaner[/URL]

- Установите [URL="http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3"]SP3[/URL] ([COLOR="#FF0000"]может потребоваться активация[/COLOR]), [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]
02.12.2013, 12:21
ALERY

Вложений: 3

Спасибо за внимание.
[QUOTE]- Сделайте лог AdwCleaner[/QUOTE], на всякий случай добавлю ещё логи от HitmanPro и МВАМ.[ATTACH]449875[/ATTACH][ATTACH]449876[/ATTACH][ATTACH]449877[/ATTACH]
[QUOTE]- Установите SP3[/QUOTE]не получится, пытался, говорят неверный ключ, хотя до 2006 года был верный. ПК был в офисе у жены, она забрала его домой (удалённо работать), в основном бухгалтерия, устан.диска у них нет (утеряли, как и ключ), я уже сам через ProductKey узнал. И с IE также не получится, к сожалению.
02.12.2013, 16:31
Techno

- [URL="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите в AdwCleaner[/URL]
02.12.2013, 21:23
ALERY

[QUOTE]- Удалите в AdwCleaner[/QUOTE]
Все найденные записи и во всех разделах сканирования ?
02.12.2013, 21:34
thyrex

Именно так
03.12.2013, 13:48
ALERY

Вложений: 2

Доброго времени....:)
С даты последнего сканирования (27/11/2013) AdwCleaner обновился до v3.014 (была v3.013). Просканировал сначала, потом Clean, результаты отличаются: 2-х ключей в параметре Registry уже не было (1.Key Found : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
2.Key Found : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536), в реестре они есть.
Прикрепляю результаты последнего сканирования и очистки.[ATTACH]450144[/ATTACH][ATTACH]450143[/ATTACH]
03.12.2013, 18:12
Techno

Что с проблемой?
03.12.2013, 20:47
ALERY

___[B]Win32.LoadMoney[/B]
"Spybot-Search & Destroy 2.1" как находил Win32.LoadMoney так и находит там же, и очень многие результаты его сканирования касаются параметра HKEY_USERS\[B]S-1-5-21-[/B]......, их 154 найдено и только один высокой угрозы, остальные [COLOR="#008000"]зелёного[/COLOR] цвета (нормальные).
___[B]Funmoods[/B] и [B]PUP.Optional.InstallCore.A[/B] - с этим чисто, спасибо...!
***Кстати, а почему в отчёте AdwCleaner об очистке эта удалённая папка отмечена знаком [B]![/B] ?
[!] Folder Deleted : C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\elchiiiejkobdbblfejjkbphbddgmljf
***Что делать с карантином ?
****Если это [QUOTE]Что с проблемой?[/QUOTE] означает закрытие темы, то вопрос: -По второму ПК создавать отдельную тему (с SP3 и обновлениями всё в порядке, Интернета не видит) ?
03.12.2013, 22:46
Techno

[quote="ALERY;1067272"]***Что делать с карантином ?[/quote]
С каким?

[quote="ALERY;1067272"]По второму ПК создавать отдельную тему[/quote]
Да.

MBAM еще раз просканируйте, найдет что?
04.12.2013, 13:57
ALERY

Что делать с карантином AdwCleaner ?
MBAM - чисто. А на находки SSD не обращать внимания и поставить старую версию его (1.6) ?
04.12.2013, 16:54
Techno

[quote="ALERY;1067480"]Что делать с карантином AdwCleaner ?[/quote]
Можете удалить.

[quote="ALERY;1067480"]А на находки SSD[/quote]
Что находит?
05.12.2013, 12:24
ALERY

[QUOTE]Что находит?[/QUOTE]
[B]См. сообщение выше от 03.12.2013, 19:47[/B] [I]___Win32.LoadMoney[/I]
"Spybot-Search & Destroy 2.1" как находил Win32.LoadMoney так и находит там же, и очень многие результаты его сканирования касаются параметра HKEY_USERS\[B]S-1-5-21-......[/B], их 154 найдено и только один высокой угрозы, остальные [COLOR="#006400"]зелёного[/COLOR] цвета (нормальные).
*******************************************************
[COLOR="#FF0000"]С Наступающими праздниками...:), здесь [URL="http://www.comss.info/page.php?al=Ashampoo_2013"]http://www.comss.info/page.php?al=Ashampoo_2013[/URL] Рождественские подарки от Ashampoo ![/COLOR]
05.12.2013, 21:32
thyrex

Ну так и спросите у разработчиков Spyboot, что они там находят
06.12.2013, 22:17
ALERY

[QUOTE=thyrex;1067867]Ну так и спросите у разработчиков Spyboot, что они там находят[/QUOTE]
Спасибо за проведённую работу, [B]закрывайте тему (проблема ...решена)[/B], начинается переливание из пустого в порожнее ! [B][I]Проблема решена ![/I][/B]