vasiol

trojan.Win32.Pakes.cdw

В этой теме 31 сообщений

Добрый день.

АВК 7.0 нашел: trojan.Win32.Pakes.cdw заражен файл advpac.dll

не удаляет и не лечит.

Помогите избавиться от этой гадости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

3 варианта, либо пойти сюда и сделать то что написано (там же создать тему в помогите), либо выполнить что там написано и логи приложить сюда.. http://virusinfo.info/showthread.php?t=1235

но перед этим можно попробовать пролечиться вот этим ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');

QuarantineFile('C:\WINDOWS\gdrv.sys','');

QuarantineFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat','');

RebootWindows(true);

end.

потом папочку quarantin(карантин) заархивируйте с паролем malware и покладите тут..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вы уверены, что его никто не дропает при загрузке?

Какие у вас права на этот файл?

Почистите реестр от ссылок на этот файл (или даже на {6560FD20-BF78-40A1-BB52-BDFCFE50C05C}).

Если не удаляется unlocker-ом и в Safe Mode, то можно попробовать через Recovery Console с загрузочного диска с вендой.

Перед загрузкой в Recovery Console повысьте её возможности:

Установите через secpol.msc -> Local Policies -> Security Options -> "Recovery Console: Allow floppy copy and access to all drives and folders" -> Enable.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...

Напишите, что из предложенного вам вы сделали.

Вы проверились Dr.Web CureIT?

Удалите из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" msindeo.dll.

Прошустрите реестр на наличие {7ACB5731-5839-13AB-EABC-124791194525} и msindeo.dll - удалите ссылки (например HKEY_CLASSES_ROOT\CLSID\{7ACB5731-5839-13AB-EABC-124791194525}, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7ACB5731-5839-13AB-EABC-124791194525}), сам файл в c:\windows\system32\ или ещё где.

Удалите из "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" что-нибудь похожее на qyyynrij.dat, aqbcfaly.dat и т.п. Также удалите эти файлы из c:\windows\system32\drivers\.

Хотя... У вас это вряд ли просто получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

повторите логи..

у вас тут руткит и еще пару гадостей..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

virusinfo_syscure.zip не сохраняется отправляю avz_log

получилось.

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.rar

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните в AVZ:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('7ACB5731-5839-13AB-EABC-124791194525');                           DeleteFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat');BC_ImportDeletedList;BC_DeleteSvc('wcngmzpb');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

virusinfo_syscheck повторите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это драйвер Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Bienum0mnwit.sys

В АВЗ Сервис - Поиск файлов на диске.

Если найдется - добавьте в карантин, затем через Файл - Просмотр карантина заархивируйте и прикрепите сюда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_ImportDeletedList;BC_DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_DeleteSvc('Bienum0mnwit');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Лог virusinfo_syscheck повторите...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АВК сейчас ничего не находит. Только появилось от ATI объявление что нет прав делать изменения в настройке. Звери неопределяемые АВК остались?

virusinfo_syscheck.zip

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все чисто... что подробнее происходит? Скрин если можно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В AVZ Файл - Восстановление системы

Отметьте пункты 6 и 9, выполните, перезагрузитесь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

737-21278: Catalyst Control Center: You Do Not Have Permission to Change Catalyst Control Center Settings Message.

1. Рекомендуется проверить, что система Журнала Событий (Event Log) Windows запущена и параметры ее старта установлены в Автоматически (Automatic).

2. Убедиться, что текущая учетная запись пользователя обладает правами Администратора.

3. Провести перестройку базы данных WMI Windows Repository, для чего:

- запустить командную строку с помощью Нажать Пуск > нажать Выполнить > ввести "cmd" > Нажать OK.

- в командной строке набрать "net stop winmgmt" и нажать ВВОД (Enter).

- используя Проводник Windows открыть папку %systemroot%\system32\wbem (обычно это C:\Windows\system32\wbem ) и удалить там папку Repository.

- в командной строке набрать "net start winmgmt" и нажать ВВОД (Enter).

- в командной строке набрать "exit" и нажать ВВОД (Enter).

PS: Возможно, что производить описанные операции придётся в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит. Версия в релизе даже распаковать его не может. А что там распаковывать? Простым отладчиком распаковывается как обычный upx и код вируса читается черным по белому. :blink:

P.S. Засылал Вэбовцам файл уже два раза (на .ru и .com).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В панели управления пишет что профиль администратор

В командной строке ввести не удалось- пишетнет команды net

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В командной строке ввести не удалось- пишетнет команды net

Какого net нет? На net - и суда нет. :lol:

Можете проделать останов и запуск сервиса "Windows Management Instrumentation" через Start->Run... -> "services.msc".

Хотя я бы первым делом проверил, не прописали ли вирусы чего в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит...

Полторы недели на включение в базы. Хм... Правда версия Вэба в релизе так и не может этот upx распаковать и т.о. вируса не детектит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Dragokas
      Не проверял, как сейчас. Раньше, архивы с зашифрованными именами файлов gmail сразу блокировал, так что я бы не назвал это вариантом. Для начала, определить источник, откуда и куда вы отправляете? Вот только что отправил письмо с yandex.ru на gmail.com, файл ZOO_, дефолт. пароль, внутри: ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838.txt ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838 Всё нормально дошло.
    • Dion
      Эх жалко, что у нокиа нет ничего достойного, а старый фанат телефонов этой фирмы. В своё время не было лучше телефонов чем нокиа, а сейчас конечно Китай рулит в плане телефонии, если раньше первые китайские телефоны-это был мусор то сейчас надо отдать должное!
    • Reporters
      Подробности на http://cbt.center/  или же по контактным номерам на сайте
       
    • Harlison
      А кто какие виды отдыха и развлечения знает?
      Если из примеров, то что-то вроде подобного лазербола https://bnbpaintball.com/services/lazertag и подобных развлечений. Хочется в городе устроить многоборство по подобным видам отдыха, для людей. Чтобы хоть летом можно было отдохнуть, не думать о работе и учёбе и наслаждаться жизнью.
      Кто чего посоветует?
    • MarivannaMVD