Перейти к содержанию
vasiol

trojan.Win32.Pakes.cdw

Recommended Posts

vasiol

Добрый день.

АВК 7.0 нашел: trojan.Win32.Pakes.cdw заражен файл advpac.dll

не удаляет и не лечит.

Помогите избавиться от этой гадости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

3 варианта, либо пойти сюда и сделать то что написано (там же создать тему в помогите), либо выполнить что там написано и логи приложить сюда.. http://virusinfo.info/showthread.php?t=1235

но перед этим можно попробовать пролечиться вот этим ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');

QuarantineFile('C:\WINDOWS\gdrv.sys','');

QuarantineFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat','');

RebootWindows(true);

end.

потом папочку quarantin(карантин) заархивируйте с паролем malware и покладите тут..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

А вы уверены, что его никто не дропает при загрузке?

Какие у вас права на этот файл?

Почистите реестр от ссылок на этот файл (или даже на {6560FD20-BF78-40A1-BB52-BDFCFE50C05C}).

Если не удаляется unlocker-ом и в Safe Mode, то можно попробовать через Recovery Console с загрузочного диска с вендой.

Перед загрузкой в Recovery Console повысьте её возможности:

Установите через secpol.msc -> Local Policies -> Security Options -> "Recovery Console: Allow floppy copy and access to all drives and folders" -> Enable.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Напишите, что из предложенного вам вы сделали.

Вы проверились Dr.Web CureIT?

Удалите из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" msindeo.dll.

Прошустрите реестр на наличие {7ACB5731-5839-13AB-EABC-124791194525} и msindeo.dll - удалите ссылки (например HKEY_CLASSES_ROOT\CLSID\{7ACB5731-5839-13AB-EABC-124791194525}, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7ACB5731-5839-13AB-EABC-124791194525}), сам файл в c:\windows\system32\ или ещё где.

Удалите из "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" что-нибудь похожее на qyyynrij.dat, aqbcfaly.dat и т.п. Также удалите эти файлы из c:\windows\system32\drivers\.

Хотя... У вас это вряд ли просто получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

повторите логи..

у вас тут руткит и еще пару гадостей..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vasiol

virusinfo_syscure.zip не сохраняется отправляю avz_log

получилось.

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Выполните в AVZ:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('7ACB5731-5839-13AB-EABC-124791194525');                           DeleteFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat');BC_ImportDeletedList;BC_DeleteSvc('wcngmzpb');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

virusinfo_syscheck повторите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это драйвер Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Bienum0mnwit.sys

В АВЗ Сервис - Поиск файлов на диске.

Если найдется - добавьте в карантин, затем через Файл - Просмотр карантина заархивируйте и прикрепите сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Выполните

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_ImportDeletedList;BC_DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_DeleteSvc('Bienum0mnwit');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Лог virusinfo_syscheck повторите...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vasiol

АВК сейчас ничего не находит. Только появилось от ATI объявление что нет прав делать изменения в настройке. Звери неопределяемые АВК остались?

virusinfo_syscheck.zip

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

Все чисто... что подробнее происходит? Скрин если можно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

В AVZ Файл - Восстановление системы

Отметьте пункты 6 и 9, выполните, перезагрузитесь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

737-21278: Catalyst Control Center: You Do Not Have Permission to Change Catalyst Control Center Settings Message.

1. Рекомендуется проверить, что система Журнала Событий (Event Log) Windows запущена и параметры ее старта установлены в Автоматически (Automatic).

2. Убедиться, что текущая учетная запись пользователя обладает правами Администратора.

3. Провести перестройку базы данных WMI Windows Repository, для чего:

- запустить командную строку с помощью Нажать Пуск > нажать Выполнить > ввести "cmd" > Нажать OK.

- в командной строке набрать "net stop winmgmt" и нажать ВВОД (Enter).

- используя Проводник Windows открыть папку %systemroot%\system32\wbem (обычно это C:\Windows\system32\wbem ) и удалить там папку Repository.

- в командной строке набрать "net start winmgmt" и нажать ВВОД (Enter).

- в командной строке набрать "exit" и нажать ВВОД (Enter).

PS: Возможно, что производить описанные операции придётся в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит. Версия в релизе даже распаковать его не может. А что там распаковывать? Простым отладчиком распаковывается как обычный upx и код вируса читается черным по белому. :blink:

P.S. Засылал Вэбовцам файл уже два раза (на .ru и .com).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vasiol

В панели управления пишет что профиль администратор

В командной строке ввести не удалось- пишетнет команды net

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
В командной строке ввести не удалось- пишетнет команды net

Какого net нет? На net - и суда нет. :lol:

Можете проделать останов и запуск сервиса "Windows Management Instrumentation" через Start->Run... -> "services.msc".

Хотя я бы первым делом проверил, не прописали ли вирусы чего в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит...

Полторы недели на включение в базы. Хм... Правда версия Вэба в релизе так и не может этот upx распаковать и т.о. вируса не детектит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

×