SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Программы > Платные / Shareware > Безопасность
Важная информация

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
RogueAntiSpyware.Antivirus 2008
Старый Добавлено: 28.07.2008, 22:00
  (#1)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию RogueAntiSpyware.Antivirus 2008

Люди помогите решить одну проблему.Может кто то с чем то подобным сталкивался?
На машине стоит DrWeb ( с ежечасными обновлениями) как антишпион использую Spyware Doktor как фаервол
модемный протект.Пару лет небыло ни каких проблем.Но тут подросли дети и залезли в интернет.Для просмотра какой то
картинки им что то предложили (с их слов) и они не задумываясь нажали ОК.
В этот же вечер Spyware Doktor выловил в реестре 14 вирусов.
Вот файл отчёта.



Suchergebnisse:
Suche starten: 22.07.2008 22:43:22
Suche anhalten: 22.07.2008 22:46:42
Durchsuchte Objekte: 44803
Gefundene Objekte: 14
Gefunden und ignoriert: 0
Verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner,
Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Name der Infizierung Standort Risiko


RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM## Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL## Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##Aktiv Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##Flags Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##Journal Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##ListCtrl 1001 Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##Minimized Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL##NextUpdateCheck Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL\FBoxUpd Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL\FBoxUpd## Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL\FBoxUpd##CheckIntervall Mittel
RogueAntiSpyware.Antivirus 2008 HKCU\Software\AVM\FRITZ!DSL\FBoxUpd##LastCheck Mittel






Всё нормально удалилось.Но на следующий день он выловил всё тоже самое всё в том же месте только уже 15 штук.
Всё удаляю и тут же сканирую.Вирусов нет.Перегружаю комп сканирую все 15 присутствуют - HKCU\Software\AVM удаляю.
Отключаю восстановление системы загружаюсь в безопасном режиме запускаю сканер DrWeb полное сканирование.
DrWeb ничего не видит.Вирусов нет.Сканирую Spyware Doktor опять вылавлевает всё в том же самом месте.
После удаления в HKCU\Software исчезает AVM. После перегрузки HKCU\Software\AVM вместе с вирусами.
Навёл справки что это вообще такое RogueAntiSpyware.Antivirus 2008 оказалось какая то рекламновымогательская дрянь.
Попробывал поискать её в компе но не чего не нашёл.Хотя точно знаю что оно есть потому что когда Spyware Doktor
сканирует я вижу в бегущей строке как он этот RogueAntiSpyware.Antivirus 2008 сканирует а вирусы ловит в
HKCU\Software\AVM.А после удаления он этот RogueAntiSpyware.Antivirus 2008 опять сканирует но вирусов уже нет пока
не перегрузишся.
AVM это DSL модем и сегодня я его полностью снёс (деинстолировал.повыкидовал все папки.вычистил реестр.вобщем всё
что было с ним связанно).Восстановление системы всё время отключенно.Перегружаю комп Spyware Doktor начинает
сканировать.Доходит до RogueAntiSpyware.Antivirus 2008 сканирует вирусов нет.
Но DSL модем мне нужен и я его снова инсталирую (софт лицензионный да и пару лет до этого небыло никаких проблем).
Перегружаю комп сканирую и эта зараза опять появляется в HKCU\Software\AVM только уже 28 штук.
Может есть какая то программа которая показывает скрытые файлы и которая покажет где скрывается этот
RogueAntiSpyware.Antivirus 2008.Может кто то что то ещё посоветует.
Заранее благодарен.
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 29.07.2008, 00:11
  (#2)
Scorpius_inc
Наблюдающий
Пользователь
 
Аватар для Scorpius_inc

По умолчанию

У тебя стоит вирус с автозагрузкой!! Значит, чтобы его устранить: сделай, чтобы все скрытые файлы были видны, на жёстком диске (C должны быть файлы типа AUTORUN.inf, AUTORUN.ini AUTORUN.exe - короче все файлы с названиями AUTORUN нужно удалить!!! Потом чистишь реестр, но есть один момент: если есть внешние носители, такие как фотоаппарат, флешки, внешние жесткие диски, они тоже заражены, там также нужно удалить AUTORUN. Когда будешь вставлять внешние носители, удерживай левый Shift, чтобы не происходил автозапуск. Потом смело перезагружайся
Scorpius_inc вне форума Отправить личное сообщение для Scorpius_inc
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (29.07.2008)
Старый Добавлено: 29.07.2008, 00:36
  (#3)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

Первое что приходит в голову - спайваре доктор фолсит безбожно. Увидеть скрытые файлы можно, например, с помощью gmer ну или icesword. Только аккуратнее с подобным софтом, внимательно смотрите что удаляете.
Если сомнений много - делайте лог avz, скрипт номер 3 в стандартных скриптах. Архив из папки лог залейте куда нибудь и ссылку запостите.
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (29.07.2008)
Старый Добавлено: 29.07.2008, 22:07
  (#4)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию

Цитата:
Сообщение от Scorpius_inc Посмотреть сообщение
короче все файлы с названиями AUTORUN нужна удалить

Нашёл один AUTORUN.ЕХЕ удалил.Результатов не принесло.
Попробую воспользоваться советом от SAlexB.
Пошёл искать gmer или icesword.
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 29.07.2008, 23:28
  (#5)
Scorpius_inc
Наблюдающий
Пользователь
 
Аватар для Scorpius_inc

По умолчанию

Цитата:
Сообщение от pawluha Посмотреть сообщение
Нашёл один AUTORUN.ЕХЕ удалил.Результатов не принесло.
Попробую воспользоваться советом от SAlexB.
Пошёл искать gmer или icesword.

Если AUTORUN.ЕХЕ появляется снова, то нужна снять все процессы не известных программ в диспетчере задач: потом удалить AUTORUN.ЕХЕ, и почистить ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Любые подозрительные программы нужна удалить!!! А по ссылке ты и вычислишь этот вирус.
А проверить удалился вирус или нет можно по появлению AUTORUN.ЕХЕ на диске “C”
Короче надо искать эту дрань их часто в процессе маскируют под именем svchost.exe если он запущен под именем твоей учетной записи снаси не задумываясь!! В норме он должен запускаться как LOCAL SERVICE и NETWORK SERVICE
Scorpius_inc вне форума Отправить личное сообщение для Scorpius_inc
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (30.07.2008)
Старый Добавлено: 30.07.2008, 00:35
  (#6)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию

Цитата:
Сообщение от Scorpius_inc Посмотреть сообщение
Если AUTORUN.ЕХЕ появляется снова

AUTORUN.ЕХЕ который я снёс после перезагрузки не появился.А вот svchost.exe с помощью gmer нашёл целую кучу и в процессе и после сканирования Rootkit/Malware. Я в таких делах слабовато разбираюсь поэтому сделал копию отчёта.

[Ссылки могут видеть только зарегистрированные пользователи. ]

И ещё объясни темноте как мне в этот диспетчер задач залезть и как узнать под моим именем этот svchost.exe запущен или нет.

Последний раз редактировалось pawluha; 30.07.2008 в 01:57..
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 30.07.2008, 01:05
  (#7)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

pawluha
Скачай это [Ссылки могут видеть только зарегистрированные пользователи. ] извлеки в какую нибудь папку. Обнови (файл_обновление баз). Далее файл_стандартные скрипты_скрипт номер 3. Выполняешь. Это займет минут 20, во время проверки система может подвисать, на ресет не давим. Автораны умрут. После этого, в папке \LOG будет zip архив с полным отчетом проверки. Залейте его на какой нибудь файлообменник и ссылку запостите. Если не хотите в паблик, можно мне в личку. Посмотрим что еще из зверей у Вас живет.
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (30.07.2008)
Старый Добавлено: 31.07.2008, 03:13
  (#8)
Scorpius_inc
Наблюдающий
Пользователь
 
Аватар для Scorpius_inc

По умолчанию

Цитата:
Сообщение от pawluha Посмотреть сообщение
Я в таких делах слабовато разбираюсь поэтому сделал копию отчёта.

svchost.exe в порядки он чист! можно не трогать.

Цитата:
Сообщение от pawluha Посмотреть сообщение
объясни темноте как мне в этот диспетчер задач залезть и как узнать под моим именем этот svchost.exe запущен или нет.

Нажимаешь Ctrl+Alt+Del, если стоит windows XP то диспетчер задач появится сразу а в Vista нужна выбрать – диспетчер задач. В диспетчере задач на в кладке “Процессы”

Цитата:
Сообщение от SAlexB Посмотреть сообщение
pawluha
Скачай это [Ссылки могут видеть только зарегистрированные пользователи. ] извлеки в какую нибудь папку. Обнови (файл_обновление баз). Далее файл_стандартные скрипты_скрипт номер 3. Выполняешь. Это займет минут 20, во время проверки система может подвисать, на ресет не давим. Автораны умрут. После этого, в папке \LOG будет zip архив с полным отчетом проверки. Залейте его на какой нибудь файлообменник и ссылку запостите. Если не хотите в паблик, можно мне в личку. Посмотрим что еще из зверей у Вас живет.

Я с тобой согласен похожа по мима AUTORUN еще что та завилось.

Pawluha: сделай лог этой программой на дабы глянуть кто у тебя там еще завелся

Последний раз редактировалось Scorpius_inc; 31.07.2008 в 03:15..
Scorpius_inc вне форума Отправить личное сообщение для Scorpius_inc
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (31.07.2008)
Старый Добавлено: 31.07.2008, 22:45
  (#9)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию

Цитата:
Сообщение от Scorpius_inc Посмотреть сообщение
Нажимаешь Ctrl+Alt+Del

Залез в диспетчер задач.
В процессе 6 svchost.exe (3 запущенны под SYSTEM, 2 под NETWORK SERVICE и 1 под LOCAL SERVICE)

Цитата:
Сообщение от SAlexB Посмотреть сообщение
Скачай это [Ссылки могут видеть только зарегистрированные пользователи. ]

Скачал просканировал. По умолчанию стояло проверять только потенциально опасные файлы. Так и оставил.
Вот лог.

[Ссылки могут видеть только зарегистрированные пользователи. ]
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 01.08.2008, 02:25
  (#10)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

Посмотрел бегло, сегодня со временем напряг (. Завтра еще раз внимательнее изучу.
C:\WINDOWS\TEMP\mc22.tmp
C:\WINDOWS\System32\Drivers\anxoy5gt.SYS
Залейте их куда нибудь и ссылку на них мне в личку. Не будем возможное вирье кидать в паблик.
svchost не прибивай только пока.
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (01.08.2008)
Старый Добавлено: 01.08.2008, 03:21
  (#11)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию

Цитата:
Сообщение от SAlexB Посмотреть сообщение
Посмотрел бегло

C:\WINDOWS\TEMP - пустая папка. Нет там mc22.tmp вообще ничего нет.
C:\WINDOWS\System32\Drivers - anxoy5gt.SYS отсутствует.
Я и через gmer смотрел ничего.
Перегрузился просмотрел ещё раз - ничего.
Просканировал систему вирусов нет. Всё чисто. Хотя при сканировании в бегущей строке этот RogueAntiSpyware.Antivirus 2008 виден но вирусов больше нет. Видать avz ему башку свернул. Интересно было бы конечно найти где его остатки прячутся но главная задача всёже решена.И за это огромное вам спасибо.
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 02.08.2008, 01:24
  (#12)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

Есть, но скрытые (возможно временные). Их выцеплять нужно скриптом avz. Но если проблема решилась, то все хорошо.
Кстати в avz есть удобный поиск скрытых файлов меню сервис_поиск файлов на диске. Там вообще очень богатые возможности, советую изучить.
SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
pawluha (02.08.2008)
Старый Добавлено: 02.08.2008, 15:42
  (#13)
pawluha
Наблюдающий
Пользователь
 
Аватар для pawluha

По умолчанию

Цитата:
Сообщение от SAlexB Посмотреть сообщение
Там вообще очень богатые возможности

Обязательно поучу.Ещё раз большое спасибо.
pawluha вне форума Отправить личное сообщение для pawluha
Вверх
Ответить с цитированием
Старый Добавлено: 31.08.2008, 02:58
  (#14)
sid444
Пользователь
Пользователь
 
Аватар для sid444

По умолчанию

Как удалить Antivirus XP 2008 ? [Ссылки могут видеть только зарегистрированные пользователи. ]
sid444 вне форума
Вверх
Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Реклама



Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot

Время генерации страницы 0.32674 секунды с 29 запросами