Показано с 1 по 16 из 16.

Зловред RemoteAdmin.Win32.RAdmin (заявка № 128564)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57

    Thumbs up Зловред RemoteAdmin.Win32.RAdmin

    Детский РС "заболел". KIS-2013 (лицензия) находит и зависат на "так-себе не очень страшной " угрозе WPI_Bars.ico аки RemoteAdmin.Win32.RAdmin.ic
    Полную проверку сделать не удается - зависаем, в БП - ВЭБ ругается на ошибку и "вываливается"

    Логи ниже
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) InDaHouse, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    RAdmin - программа для удаленного доступа к компьютеру. Очень часто она содержится в комлекте пиратских сборок windows. Рекомендуется удалить, если вы её не используете.

  5. #4
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    Специально я не устанавливал Radmin. Проблема проявилась пару дней назад. Что там "карандаши" (ПК то детский) делали можно только гадать. Но в реестре установленных прог нет радмина. А вот файл WPI_Bars.ico есть на диске D:, но я его удалить так и не смог.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    VPets.exe деинсталлируйте вручную.
    webalta тоже надо зачистить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    PavelA!
    Как, подскажите? В HiJack запись "O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe вижу, но - по этому пути нет ни папки VPets, ни файла - VPets.exe .

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксите в Хиджаке:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=41529
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe

    - - - Добавлено - - -

    в AVZ выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\VPets\VPets.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    
    end.
    Логи повторите. Проверьте удалилась вебалта или нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    PavelA! Сделал.
    Проверьте.

    - - - Добавлено - - -

    Самовольничаю, но вот эта "хрень" (принт скрина вложил) выскакивает всё-равно. ПК или зависает или это предупреждение всегда поверх всех окон.
    Изображения Изображения
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Удалите этот архив iso, если он Вам не нужен, либо добавьте р-админ в исключения. В логах чисто.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    Цитата Сообщение от InDaHouse Посмотреть сообщение
    "....файл WPI_Bars.ico есть на диске D:, но я его удалить так и не смог.

    Вроде бы просил помощи КАК это сделать?
    Не удаляется он "просто так".

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Проблемы вызваны использованием сборки Windows xp, в которые зачем-то внедряют этот RAdmin. Чтобы избежать подобных проблем, используйте только оригинальное ПО Microsoft.

  13. #12
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Проблемы вызваны использованием сборки Windows xp, в которые зачем-то внедряют этот RAdmin. Чтобы избежать подобных проблем, используйте только оригинальное ПО Microsoft.
    В этом сомнений нет. И совет Ваш правильный! А дальше то что ? По существу?

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от InDaHouse Посмотреть сообщение
    По существу?
    По-существу, это поиск решения вопроса с радмином, который вы не устанавливали?

  15. #14
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    ;PavelA и форуму virusinfo - в который раз, СПАСИБО Вам, за помощь!

    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    По-существу, это поиск решения вопроса с радмином, который вы не устанавливали?
    И Вам, Никита, спасибо, за "конструктивную" помощь. Благодаря Вашим подсказкам - всё получилось .
    Последний раз редактировалось InDaHouse; 14.12.2012 в 23:37.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Папку C:\Program Files\VPets удалите, если такая имеется...


  17. #16
    Junior Member Репутация
    Регистрация
    18.09.2008
    Сообщений
    51
    Вес репутации
    57
    С помощью LiveCD "убил" траблый файл и папку. Ещё раз, СПАСИБО, помогающим, !

  • Уважаемый(ая) InDaHouse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 20.11.2012, 18:02
    2. Ответов: 8
      Последнее сообщение: 11.10.2012, 19:50
    3. Ответов: 5
      Последнее сообщение: 28.08.2012, 10:50
    4. Восстановить данные после Win32/RemoteAdmin.RAdmin.20(Worm.Win32.Radminer.d)
      От NickM в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 09.08.2010, 12:42
    5. not-a-virus:RemoteAdmin.Win32.RAdmin.20
      От Убийца богов в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.03.2007, 10:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00070 seconds with 20 queries