Опасный SpyWare Spy.WinAd

[qantrom]

Короче монстр вернулся. я писал в топике "битдефендер" http://kadets.info/showthread.php?t=10496&page=11&pp=30
http://kadets.info/showthread.php?p=167055#post167055
о том ,что поставил паралельно битдефендер с маккафи.Короче WinAdCtl убил в два счёта СМакафи споследними базами,вырубив всё что только возможно.Битдефендер его видит и якобы удаляет,но через мгновение появляются ДВА WinAdCtl.exe,и перегружают систему так,что нихрена не движится.Причём проц не грузиться,а вот память на максимуме.В прошлый раз помогла прога Зайцева Олега ,но на сей раз только определила семейство winad.Удалить не смогла так как небыл определён вирус.
Кстати одинакого не видят и каспер и веб,так что убрать её можно только ручками , в безопасном режиме с основательной чисткой реестра.
Установил точно , залезла в комп с сайта www.freeserials.com
Так что смотрите.
Да чуть не забыл.Появляется папка темп,не виндовская,и в ней селятся ещё два трояна.Ета хрень мутирует на глазах и порождает троянов.

[Geser]

1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе http://virusinfo.info/index.php?board=26 с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

[qantrom]

Posted by: Geser Posted on: Сегодня в 22:01:47
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе http://virusinfo.info/index.php?board=26 с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.

[Geser]

Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.

А ты уверен что у тебя не живёт ещё кто-то?
Если после удаления файлы появляются, значит нужно искать того кто их создаёт.

[qantrom]

Уверен на все сто.Помнишь как я ловил вирус отключавший монитор у Каспера ? Точно так же я определил откуда я теперь поймал вирус.
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

[Geser]

А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

Давай лог, посмотрим

[qantrom]

А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

Geser ,куда грузить лог ?
Пожоже я опять погорячился,эта сволочь всёже сидит в компе.

[Geser]

Открой тему тут http://virusinfo.info/index.php?board=26

у меня на одной из тачек тоже эта хрень есть, тока файло другое: в папке c$\Program Files\Windows AdControl
WinAdAlt.exe
WinAdCtl.exe
WinAdShift.dll
юзер говорит сам ставил штатно, нужна мол эта хрень и всё ...
файло заблокировано на удаление и изменене ... тоже поразбираюсь ...

Вобщем прога никак не сносилась ... антивири не видели ничего подозрительного... файло не стиралась ... в реестре после сноса авторана этой гадости появлялась через 1 сек ....
короче запустил я C:\pfXP\processExplorer\procexp.exe v8.10 на том компе, кильнул winadctr.exe - а он перезапустился гад ... я опять... он опять ... и нажал я тода не кильнуть процесс а пункт меню "suspend" :-))).
и процесс приснул... ну я тода его братишку - "winadalt.exe" и прибил...
и не смог он перезапустится и сдох на совсем ... особоенно после сноса ево папки в \\программ файлис\\... и чистки разделов реестра типа РУН...
пока не появился ещё ... в общем всё !
З.Ы. разминка с утра прикольная получилась... теперь вод думаю, а вдруг это правда была нужная прога !!!

Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?

[Зайцев Олег]

Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?

Это судя по всему логи Windows, опасности они не несут

мой юзверь пытался опять клацать по ссылке в инете этим вингадом, а она почемуто у него зарубленная оказалась :-))))))... так и не занёс он досих пор ентот вирь ... мы-то терь знаем как его рубить с корнем !!!

[quote author=Зайцев Олег link=board=22;threadid=154;start=20#msg1622 date=1100608511]
Это судя по всему логи Windows, опасности они не несут
[/quote]
Да, текстовые файлы опасны только в качестве "психологических вирусов" .
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?

[Зайцев Олег]

Да, текстовые файлы опасны только в качестве "психологических вирусов" .
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?

Система Win9x ?? Находятся они в папке APPLOG ?? Если так, то злобный вирус - это Windows 9x - в этих файлах система хранит данные по всем программам (какие библиотеки они используют, какие-то данные по памяти ... ) - для оптимизации последующих запусков. Естественно, если winad работал на компьютере, то для каждого exe е его составе система сделает LGC файл

Понятно. Спасибо за информацию.

[Phillon]

Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.

[azza]

Autoexeс удаляется, потому что в нём можно прописать удаление winad'овских файлов перед стартом Windows.

[Зайцев Олег]

Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.

Логика создателей WinAd странная - скорее всего azza прав, многие антивирусы (и пользователи) используют autoexec для уничтожения "неудаляемых" файлов. Убивая autoexec WinAd борется с этим ... хорошо еще, что создатели WinAd не додумались снести полреестра - на всякий случай Другое странно - удаление autoexec - явная троянская функция, но Касперский и остальные WinAd не причисляют к троянам

[Sanja]

никто так не делает.. из антивирусов через autoexec... может Ad-Aware так делает...

в NT based systemah faili udlayutsa posle perezagruzki ispolzuja
http://msdn.microsoft.com/library/de...movefileex.asp

v 9x - propisivaniem faial v wininit.ini sectsija rename