Перейти к содержанию
Шурыч1985

Win32/Adware.OneStep как удалить его?

Recommended Posts

Шурыч1985

Win32/Adware.OneStep Подскажите пожалуйста как удалить этот вирус. NOD32 пишет что файл находится не на жестком диске и заблокирован. И вообще что это за вирус и какой вред от него. Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Win32/Adware.OneStep Подскажите пожалуйста как удалить этот вирус. NOD32 пишет что файл находится не на жестком диске и заблокирован. И вообще что это за вирус и какой вред от него. Заранее спасибо.

Скачайте свежую версию программы Dr.Web CureIt!. Запустите полное сканирование (по-умолчанию запускается быстрое сканирование).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Win32/Adware.OneStep Подскажите пожалуйста как удалить этот вирус. NOD32 пишет что файл находится не на жестком диске и заблокирован. И вообще что это за вирус и какой вред от него. Заранее спасибо.

OneStep - это не вирус, а Adware - попросту рекламоносный модуль, но один из тех, что вгрызаются в систему. Сначала нужно просмотреть, куда установлена программа или игра, в которой он замечен антивирусом.

Потом удалить или попытаться удалить его из системы обычным способом - через "Установка и удаление программ" или сторонними программами-деинсталляторами.

Потом попробовать выгрузить этот модуль из системных процессов или же удалить NOD32 и установить другой антивирус. Например, Антивирус Касперского даже 6.0 (621 сборки) без труда определяет и удаляет его.

Другое дело, если OneStep - это уже не единственный malware в вашей системе. В файловой системе NTFS замечены проблемы - кое-что прицепляется к исполняемым файлам и запускается под их прикрытием. Тогда нужны более кардинальные меры лечения.

Если же написано что-то вроде вашего "файл находится не на жестком диске и заблокирован" - то может так оно и есть - какой-то съёмный носитель данных. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

На этой неделе лечил клиента как раз с подобной заразой. Честно сказать: лучше чем CureIt и AVZ, никто с ней не справляется. Trend Micro вообще половину ее файлов считает безопасными и отказывается добавлять в базы. Поэтому советую прислушаться к тому, что сказал Superbrat

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Последовал совету Superbrat

Запустил Cureit - при быстром сканировании обнаружилась интересная находка Trojan.Click.origin (см. прилагаемый архив - рис. 1) - cureit.exe - от 14 января {В той же папке с найденным dll обнаружился и собственный деинсталлятор, который благополучно удалил свои составляющие}. Далее Cureit потребовал перезагрузку.

Скачал новую версию Cureit прямо сейчас - облом в архиве.

Как это понимать? Ошибка в упаковке или недоработка?

8 мегабайт перекачивать снова!!! Кто-нибудь сообщит об этом в Лабораторию Данилова?

cureit.exe - от 6 февраля 2008 г., 13:20:35 (см. прилагаемый архив - рис. 2)

cureit.rar

cureit.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Качали в несколько потоков? Если да, то могли разными потоками разные версии зацепить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

rubin-VInfo

Два дня назад попробовал скачать и запустить CureIt на другом ПК - уже через адсл-модем.

Старая версия, скачанная в январе, запускается нормально, но та, что размещена на сервере и доступна для скачивания - повреждена. Сообщил сейчас об этом на странице техподдержки DrWeb. Указал ссылку сюда.

Будем ждать объяснений.

Если результата не будет, то CureIt придётся сдать в архив истории.

Ещё позволю себе заметить, что при лечении активного заражения буквально в прошлую пятницу CureIt (скачанный в январе) показал себя с лучшей стороны, НО при завершении заражённых системных процессов делал несколько раз аварийную перезагрузку, то есть не выгружал и перезагружал ПК, а сбрасывал систему очень брутально - с последующим появлением экрана с выполнением CHKDSK на жёстком диске. На последнем окошечке еле успел заметить, что это был один из Dropper'ов. Пришлось отказаться от его услуг на тот день (Так и систему недолго повредить!!!) и поработать ручками самому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Только что скачал... все нормально.

А дистрибутив на CureIt обновляется несколько раз в день - можно и подождать если что. Сейчас ИМХО уже концов не найти, даже если тогда был битый

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Только что скачал... все нормально.

Сейчас ИМХО уже концов не найти, даже если тогда был битый

Укажите, пожалуйста, в своём посте ссылку, с которой качали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

rubin-VInfo и другим

Ночью на 25 февраля поставил на закачку CureIt.

Закачка шла долго (с других сайтов до и после всё качалось быстро и без проблем).

Обычно для закачки такого размера на модеме 56К мне нужно около часа - а тут более 2х часов.

Оказалось, что всё напрасно - архив повреждён. Качал только один этот файл.

Забавно, что уже по другому пишет, но запустить не удаётся.

Никакие malware или anti-malware в моей системе на тот момент не выполнялись.

Запускал на разных компьютерах - одинаково.

Вот прилагаю полный отчёт в картинках (см. архив 6cu.zip). 6cu.zip

Выделил красным то, на что стоит обратить внимание.

1cu.JPG - запуск CureIt из программы загрузки (DM)

2cu.JPG - запуск CureIt из папки загрузки

3cu.JPG - окно после нажания на ОК

4cu.JPG - окно после прокрутки вверх

5cu.JPG - окно после прокрутки ещё выше

6cu.JPG - беспроблемный запуск январской версии CureIt

6cu.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Андрей-001

А что будет, если качать с одной из прямых ссылок (с указанием времени выкладывания)? Например, через эту ссылку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

ИМХО Даунлоуд Мастер качает таки файл в несколько потоков, поэтому цепляет разные сборки - оттуда и бага

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Спасибо, что откликнулись.

rubin-VInfo

У других не цепляет, а тут вдруг начал цеплять. :) Я на адсл-модеме клиента качал же напрямую, а и там первый баг был аналогичный моему.

dot_sent через вашу ссылку качает быстрее, может там "убираются" почаще. :) Завтра поделюсь впечатлениями. :) На 56К модеме впрямую много не накачаешь - обрубят связь.

УРА!!! ЗАРАБОТАЛО!!! через ссылку ftp://ftp.drweb.com/pub/drweb/cureit/2008...1008/cureit.exe

CureIt версия 4.44 вирусных записей 311114

Закачалось 8.70 Мб за 50 минут тем же DM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo
У других не цепляет, а тут вдруг начал цеплять.

Ну тут как время подгадать... Можно успеть перед выходом новых сборок скачать, а можно и не успеть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
УРА!!! ЗАРАБОТАЛО!!! через ссылку ftp://ftp.drweb.com/pub/drweb/cureit/2008...1008/cureit.exe

CureIt версия 4.44 вирусных записей 311114

Закачалось 8.70 Мб за 50 минут тем же DM.

Не качайте постоянно через эту ссылку, поскольку для каждой свежей версии CureIt создается свой каталог с именем, в котором записана дата и время упаковки. Оптимально - зайти на ftp://ftp.drweb.com/pub/drweb/cureit/ через браузер, найти наиболее "свежий" каталог и скачать CureIt оттуда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

dot_sent

Оптимально - зайти на ftp://ftp.drweb.com/pub/drweb/cureit/ через браузер, найти наиболее "свежий" каталог и скачать CureIt оттуда.

Понятно - найти "самую свежую" по дате папку, войти в неё и скачать файл.

А зачем такое множество архивов держать? Размер-то небольшой.

Понятно, что вы имели ввиду, rubin-VInfo, когда говорили "ЗАЦЕПИТЬ"!

Можно успеть перед выходом новых сборок скачать, а можно и не успеть

Мой пример тому подтверждение - на старом 56К-модеме удалось скачать нормальную сборку два раза из пяти!!!

Постоянная cureit'ная ссылка-то собирается чаще чем её можно закачать. :) Такой оперативностью даже можно в какой-то степени гордиться. Хотя спать людям тоже надо.

Но почему именно так это делается, граждане хорошие. Непродуманно как-то. Если адсл-модем 1Гб-512Мб скачает такой архив максимум за 1 минуту (хотя такие скорости в остальной телефонной России пока невозможны), адсл 256Мб минут за 3-5, а, к примеру, наш местный 64-128 unlim - минут за 10-15, а более распространённый 56К-модем (с его 4-5 Кб/с) - за 50-120 минут, то получается совсем печальная статистика закачек. В посёлках и др. малых НП ведь 56К-модем вообще предмет роскоши.

Добавлено позже, по прошествии двух месяцев: ошибок с закачками нет (23-24 апреля). dolf_ru_839.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

Андрей-001

Спасибо. У меня была та же проблема, теперь тоже получилось скачать эту программу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×