-
Junior Member
- Вес репутации
- 41
WinMonitor.exe [not-a-virus:AdWare.MSIL.Agent.an
]
Здравствуйте. Существует такая проблема. Появилась "фоновая" звуковая реклама(которая то врубается то вырубается), в микшере видно некий файл без имени. Полная проверка системы KIS 2013 с новыми базами(и самыми "высокими" настройками проверки результатов не дала). Однако я обнаружил 2 подозрительных файла в C:\Windows\SysWOW64. Это WinMonitor.exe и libs.exe. При удалении файла реклама исчезла. Однако через некоторое время файл появляется вновь. Если удалить файл libs.exe он так же через некоторое время появится там. Вот результат проверки этих файлов на Virustotal
https://www.virustotal.com/ru/file/f...is/1365159893/
https://www.virustotal.com/ru/file/c...is/1365159892/
Т.к. DrWeb детектирует WinMonitor.exe как Adware.SafeSurf.44
то я сделал проверку свежим CureIT в безопасном режиме. Он удалил WinMonitor.exe (больше ничего серьёзного не нашёл), но файл опять появился.
Логи AVZ (только №2 т.к. система x64) и HiJackThis прикрепляю.
virusinfo_syscheck.zip hijackthis.log
Заранее большое спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Afftar, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
программу SafeSurf себе устанавливали ?
- Проведите процедуру, которая описана тут. Ссылка на результат проверки напишите в сообщении здесь.
- Сделайте лог полного сканирования МВАМ.
Сообщение от
Afftar
Однако я обнаружил 2 подозрительных файла в C:\Windows\SysWOW64. Это WinMonitor.exe и libs.exe.
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 41
программу SafeSurf себе устанавливали ?
Нет
Всё сделал. Карантин на эти 2 файла выслал по правилам.
Отчёт VirusDetector здесь
http://virusinfo.info/virusdetector/...1E7D4843FEDAB5
Лог MBAM прикрепляю
MBAM-log-2013-04-05 (19-44-38).txt
P.S.Судя по личному вгляду MBAM ничего особенного не нашёл
-
-
-
Junior Member
- Вес репутации
- 41
-
-
-
Junior Member
- Вес репутации
- 41
-
-
-
Junior Member
- Вес репутации
- 41
ComboFix не трогал файлы WinMonitor.exe и libs.exe. После проверки ComboFix'ом я их удалил вручную, пока что вроде не появлялись(в т.ч. после перезагрузок). Большое спасибо! Если появятся снова я напишу.
P.S.Что собственно представляли из себя эти файлы и связаны ли они между собой?
-
SafeSurf - программа для просмотра рекламы, кликанья на сайтах и т.д. с целья зарабатывания очков, на которое потом можно рекламировать (крутить рекламу) своего сайта. Музыка, которую вы слышали как раз проигрывалась на рекламируемых сайтах.
Удалите ComboFix
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
----------------
модераторы тему пока не закрывайте.
-
-
Junior Member
- Вес репутации
- 41
Была найдена 1 уязвимость
"Уязвимость в MSXML делает возможным удаленное выполнение кода"
Заплатку поставил.
Пока что файлы не появляются. Ещё раз большое спасибо!
P.S. То что файл относится к SafeSurf я понял из детекта DrWeb. Дело в том что я никогда не ставил себе подобных программ(хотя конечно есть куча прог, которые ставят вместе с собой что нибудь в "довеску"). И совсем уж странно то что файл восстанавливался после удаления. Не очень то похоже на "легальную" прогу.
-
Сообщение от
Afftar
P.S. То что файл относится к SafeSurf я понял из детекта DrWeb. Дело в том что я никогда не ставил себе подобных программ(хотя конечно есть куча прог, которые ставят вместе с собой что нибудь в "довеску"). И совсем уж странно то что файл восстанавливался после удаления. Не очень то похоже на "легальную" прогу.
прога вообщем легальна, но возможно кто-то сделал левую сборку, чтобы больше заработать кредитов используя чужие компы.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\syswow64\\winmonitor.exe - not-a-virus:AdWare.MSIL.Agent.an ( DrWEB: Adware.SafeSurf.44 )
-