Обнаружено: рекламная программа not-a-virus:AdWare.Win32.Bromngr.b [not-a-virus:AdWare.Win32.Bromngr.b,
]
Kaspersky Crystal 9.1.0.124 постоянно обнаруживает not-a-virus:AdWare.Win32.Bromngr.b После лечения (с последующей перезагрузкой) - комп перезагружается. Проверка ничего опасного не выявляет, но позже Kaspersky Crystal опять обнаруживает тот же вирус и выдает всплывающее сообщение "Идёт загрузка объекта http://d1js21szq85hyn.cloudfront.net/de/bab/2_5/18/16.7z//bprotector-16.0.dll".
И так далее.
В сохраненом отчёте проверки Kaspersky Crystal постоянно виден адрес подгружаемой заразы с адреса: http://d1js21szq85hyn.cloudfront.net...ector-12.0.dll
.......... http://d1js21szq85hyn.cloudfront.net...ector-16.0.dll
каким то Application Manager'ом который появился по адресу
c:\Users\Все пользователи\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe
и постоянно подгружает из сети вот это
c:\Users\Все пользователи\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension\components\mngr-17.0.dll
помогите справится с проблемой !!!
Последний раз редактировалось Андрей Петрунин; 06.12.2012 в 21:36.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Андрей Петрунин, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\progra~3\browse~1\25911~1.18\{c16c1~1\mngr.dll','');
QuarantineFile('C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll','');
TerminateProcessByName('c:\programdata\browser manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe');
QuarantineFile('c:\programdata\browser manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe','');
DeleteFile('c:\programdata\browser manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe');
DeleteFile('C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Скрипт не помог. Он не запускается Kaspersky Crystal виснет и ни чего не происходит... Выкладываю новые логи.
- - - Добавлено - - -
Прошу прощения за свою невнимательность. Запустил скрипт не в Kaspersky Crystal, а в AVZ как вы писали выше, всё прошло успешно ! Троянские *.dll'ки больше неподгружаются из сети. Спасибо Вам огромное thyrex за оказанную помощь !
Последний раз редактировалось Андрей Петрунин; 07.12.2012 в 21:09.
Касперский так и отшибает попытку загрузки этой dll'ки. Периодически всплывает сообщение от Kaspersky Crystal что мол "загрузка объекта с адреса..." этой самой dll, и сразу тут же "Отказано" т.е. Каспер отшибает. И постоянно весит в процессе эта троян программа C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe
Выкладываю новые логи и карантин от AVP
"Failed to delete" К сожалению не получилось снести этот каталог c:\programdata\Browser Manager со всем его содержимым. Он словно врос в систему Может ещё раз повторить, и уже "под именем администратора" запустить тот же скрипт в ComboFix? Но только вот как?
Нет. Так "в нахалку" папку удалить не получается, и не получилось бы. Ведь программа же (торян) в процессе висит, и постоянно посылает запросы на свой сервак - на загрузку этих dll библиотечек с рекламой. Удалил я таки папку C:\ProgramData\Browser Manager\\\ с троянским exe'шником проверенным "дедовским" способом. Правда "грязно" удалил, но эффективно. Зашел под другой виндой (Win, установленной как резервной ОС на другом жестком диске, и тупо снёс эту папку. Спасибо всем, особено thyrex за участие и помощь . выкладываю тройчатку логов RSIT, AVZ и ComboFix.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: