Перейти к содержанию
vasiol

trojan.Win32.Pakes.cdw

Автор vasiol, в Помощь

Recommended Posts

vasiol    0

vasiol
Опубликовано

Добрый день.

АВК 7.0 нашел: trojan.Win32.Pakes.cdw заражен файл advpac.dll

не удаляет и не лечит.

Помогите избавиться от этой гадости.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ego1st    95

Ego1st
Опубликовано

3 варианта, либо пойти сюда и сделать то что написано (там же создать тему в помогите), либо выполнить что там написано и логи приложить сюда.. http://virusinfo.info/showthread.php?t=1235

но перед этим можно попробовать пролечиться вот этим ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ego1st    95

Ego1st
Опубликовано

выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');

QuarantineFile('C:\WINDOWS\gdrv.sys','');

QuarantineFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat','');

RebootWindows(true);

end.

потом папочку quarantin(карантин) заархивируйте с паролем malware и покладите тут..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано

А вы уверены, что его никто не дропает при загрузке?

Какие у вас права на этот файл?

Почистите реестр от ссылок на этот файл (или даже на {6560FD20-BF78-40A1-BB52-BDFCFE50C05C}).

Если не удаляется unlocker-ом и в Safe Mode, то можно попробовать через Recovery Console с загрузочного диска с вендой.

Перед загрузкой в Recovery Console повысьте её возможности:

Установите через secpol.msc -> Local Policies -> Security Options -> "Recovery Console: Allow floppy copy and access to all drives and folders" -> Enable.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
...

Напишите, что из предложенного вам вы сделали.

Вы проверились Dr.Web CureIT?

Удалите из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" msindeo.dll.

Прошустрите реестр на наличие {7ACB5731-5839-13AB-EABC-124791194525} и msindeo.dll - удалите ссылки (например HKEY_CLASSES_ROOT\CLSID\{7ACB5731-5839-13AB-EABC-124791194525}, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7ACB5731-5839-13AB-EABC-124791194525}), сам файл в c:\windows\system32\ или ещё где.

Удалите из "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" что-нибудь похожее на qyyynrij.dat, aqbcfaly.dat и т.п. Также удалите эти файлы из c:\windows\system32\drivers\.

Хотя... У вас это вряд ли просто получится.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ego1st    95

Ego1st
Опубликовано

повторите логи..

у вас тут руткит и еще пару гадостей..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vasiol    0

vasiol
Опубликовано

virusinfo_syscure.zip не сохраняется отправляю avz_log

получилось.

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

Выполните в AVZ:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('7ACB5731-5839-13AB-EABC-124791194525');                           DeleteFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat');BC_ImportDeletedList;BC_DeleteSvc('wcngmzpb');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

virusinfo_syscheck повторите

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Это драйвер Касперского.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

Bienum0mnwit.sys

В АВЗ Сервис - Поиск файлов на диске.

Если найдется - добавьте в карантин, затем через Файл - Просмотр карантина заархивируйте и прикрепите сюда

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

Выполните

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_ImportDeletedList;BC_DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_DeleteSvc('Bienum0mnwit');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Лог virusinfo_syscheck повторите...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vasiol    0

vasiol
Опубликовано

АВК сейчас ничего не находит. Только появилось от ATI объявление что нет прав делать изменения в настройке. Звери неопределяемые АВК остались?

virusinfo_syscheck.zip

virusinfo_syscheck.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

Все чисто... что подробнее происходит? Скрин если можно

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

В AVZ Файл - Восстановление системы

Отметьте пункты 6 и 9, выполните, перезагрузитесь...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rubin-VInfo    10

rubin-VInfo
Опубликовано

737-21278: Catalyst Control Center: You Do Not Have Permission to Change Catalyst Control Center Settings Message.

1. Рекомендуется проверить, что система Журнала Событий (Event Log) Windows запущена и параметры ее старта установлены в Автоматически (Automatic).

2. Убедиться, что текущая учетная запись пользователя обладает правами Администратора.

3. Провести перестройку базы данных WMI Windows Repository, для чего:

- запустить командную строку с помощью Нажать Пуск > нажать Выполнить > ввести "cmd" > Нажать OK.

- в командной строке набрать "net stop winmgmt" и нажать ВВОД (Enter).

- используя Проводник Windows открыть папку %systemroot%\system32\wbem (обычно это C:\Windows\system32\wbem ) и удалить там папку Repository.

- в командной строке набрать "net start winmgmt" и нажать ВВОД (Enter).

- в командной строке набрать "exit" и нажать ВВОД (Enter).

PS: Возможно, что производить описанные операции придётся в безопасном режиме.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано

Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит. Версия в релизе даже распаковать его не может. А что там распаковывать? Простым отладчиком распаковывается как обычный upx и код вируса читается черным по белому. :blink:

P.S. Засылал Вэбовцам файл уже два раза (на .ru и .com).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vasiol    0

vasiol
Опубликовано

В панели управления пишет что профиль администратор

В командной строке ввести не удалось- пишетнет команды net

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
В командной строке ввести не удалось- пишетнет команды net

Какого net нет? На net - и суда нет. :lol:

Можете проделать останов и запуск сервиса "Windows Management Instrumentation" через Start->Run... -> "services.msc".

Хотя я бы первым делом проверил, не прописали ли вирусы чего в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит...

Полторы недели на включение в базы. Хм... Правда версия Вэба в релизе так и не может этот upx распаковать и т.о. вируса не детектит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Помощь

  • Сообщения

    • 1kryptik
      Снять гостиницу в Новосибирске

      От 1kryptik · Опубликовано

      Был по работе в Новосибирске, задержался на два дня, думал сначала успеть всё за день и улететь обратно в Москву, но не успел. Пришлось искать где переночевать, нашел отличный хостел новосибирск у жд вокзала, если возникнут проблемы с проживанием, обращайтесь в этот хостел!
    • BooiCasino
      BOOI Casino: обзор, отзывы, акции, обсуждение

      От BooiCasino · Опубликовано

    • Quinci
      Тупит ноут

      От Quinci · Опубликовано

      Ну вы бы установщику сообщили сразу, что ноут не из новых. Может он бы и не стал вам 10-ку устанавливать. Если нет желания покупать новый ноут, то можно поставить пару планок оперативы, да и жесткий диск сменить с HDD на SSD, тогда и с 10-ой работать быстрее будет. Если винда не чистая, а скачанная откуда-нибудь с торрентов, то там, скорее всего куча программ есть и приложений. Тут https://windowsabc.ru/windows-10/kak-povysit-proizvoditelnost-noutbuka-na-windows-10/ почитайте, как их убрать, чтоб не грузили ноут. Тогда тоже будет быстрее работать. 
    • Tuki
      Заработок и продвижение!

      От Tuki · Опубликовано

      Мне интересны ставки на спорт. Во-первых, это интересно для каждого любителя спорта. Во-вторых, это может быть прибыльно. В общем, я сейчас делаю ставки, но пока опыта как такового нет. Хочу сменить контору на 1xbet. Условия очень хорошие. Есть сайт https://on-bet.ru/zerkala-bukmekerskih-kontor/zerkalo-1xbet/, на котором есть вся необходимая информация о зеркале этой конторы. О том, как его найти и не ошибиться.
    • Momo
      Тупит ноут

      От Momo · Опубликовано

      Если бы я ещё умела это делать. Спасибо, посмотрю ваш специализированный форум и там спрошу.
×