Показано с 1 по 13 из 13.

Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 - снова (заявка № 111387)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46

    Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 - снова

    Есть такая тема, но она уже закрыта
    http://virusinfo.info/showthread.php?t=29010

    Принесли ноутбук, при входе юзера в виндоус вижу в точности то же самое.
    Сразу же падает explorer.exe
    CureIt! скачанный вчера утром ничего не нашел.
    Kaspersky VRT 2011 не запускается ни в safe mode ни в нормальном.
    Avast BART PE с базаой от вчерашнего дня нашел пару каких-то JS/Exploit и удалил, это само собой ни на что не повлияло.

    Между первым и вторым логом AVZ я удалил стоявший на ноуте Avast 5 из safe mode его удилитой деинсталяции.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) atatat, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    такой лог сделайте http://virusinfo.info/showthread.php?t=53070

  5. #4
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46
    Прошу прощения что так долго, ноутук не быстрый :-)
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\program files\hackerclub\Xfenez\Xfenez.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\WINDOWS\system32\phc5opj0ec8n.bmp', 'MBAM: Trojan.FakeAlert');
    DeleteFile('c:\WINDOWS\system32\phc5opj0ec8n.bmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    c:\setup.exe - этот файл известен вам?
    Удалите в mbam

    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper (Hijack.Wallpaper) -> Value: Wallpaper -> No action taken.
    HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Hijack.Wallpaper) -> Value: OriginalWallpaper -> No action taken.
    HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Hijack.Wallpaper) -> Value: ConvertedWallpaper -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46
    c:\setup.exe - это Kaspersky Virus Removal Tool 2011

    Скрипты выполню в понедельник, ноут остался на работе :-)

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46
    После выполнения первого скрипта баннер пропал, что не может не радовать.
    Но Explorer.exe всё равно падает, что не может не огорчать
    + пока выполнялся второй скрипт успел упасть svchost.exe, связи скорее всего никакой, но раньше я не замечал за ним такого

    Каратнин отправил.
    Ключи в реестре стер.
    После перезагрузки Explorer.exe всё равно падает
    "Ошибка при инициализации приложения (0xc0000006). Для выхода из приложения нажмите кнопку "ОК"."

    Да, svchost теперь падает каждый раз, пока был баннер он так не делал.
    Последний раз редактировалось atatat; 24.10.2011 в 12:01.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи авз повторите

  10. #9
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46
    Сделал
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего плохого ... установлено куча расширений проводника ... врозможно одна из програм его и крешит

  12. #11
    Junior Member Репутация
    Регистрация
    20.10.2011
    Сообщений
    9
    Вес репутации
    46
    Мммм, а где их посмотреть чтобы попробовать отключить?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    авз - сервис

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\hackerclub\\xfenez\\xfenez.exe - HackTool.PHP.Agent.u ( DrWEB: Trojan.Fraudster.224 )


  • Уважаемый(ая) atatat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64.
      От Adis_S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:50
    2. Warning! Win32/Adware.Virtumonde+PrivacyRemover.M64
      От Viking в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:36
    3. Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От yourzki в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:30
    4. И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От roman_bv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.08.2008, 10:05
    5. Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От snick в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.08.2008, 13:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00485 seconds with 20 queries