Windows 10 64bit.
Eset Smart Security 8.
Опасно - подозрение на троянскую программы с FU-Based руткитом.
#1
Отправлено 01 Ноябрь 2015 - 21:28
#2
Отправлено 01 Ноябрь 2015 - 21:28
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 01 Ноябрь 2015 - 21:38
Когда проявилось подозрение?
Вот это в карантин с помощью хайджека:
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
#4
Отправлено 01 Ноябрь 2015 - 21:45
Проблема появилась 24.10.2015 г.
Как добавить в карантин с помощью хайджека?
#5
Отправлено 01 Ноябрь 2015 - 21:53
Поставить галочку, нажать "Fix checked", перезагрузиться
#6
Отправлено 01 Ноябрь 2015 - 21:57
Выполнено.
Новый лог.
Прикрепленные файлы:
#7
Отправлено 01 Ноябрь 2015 - 21:59
Выполнено.
Если за роутером сидите - проверьте настройки DNS. Поставьте сложный пароль.
Далее очистить ВСЕ временные файлы системы и профиля с помощью Ccleaner.
После этого попробуйте обновления винды накатить. Пойдут?
Если обновление не пойдет или ОС будет тупить и уходить в бсод - вернуть из карантина сею запись.
Сообщение было изменено brisyo: 01 Ноябрь 2015 - 22:01
#8
Отправлено 01 Ноябрь 2015 - 22:03
#9
Отправлено 01 Ноябрь 2015 - 22:09
Подозрение на троянскую программы с FU-Based руткитом.....этот вердикт кто выдает? - Eset?
Видимо, да, Дмитрий. Встречал такое уже 2 раза. Кончалось падением десятки (ОС) и никаких следов, достойных хантера...
Кстати, да...автор темы, что скажете?
#10
Отправлено 01 Ноябрь 2015 - 22:13
Этот вердикт выдает AVZ.
Лог есть в начале темы.
#11
Отправлено 01 Ноябрь 2015 - 22:14
Автор создал тему и на этом форуме, но пока не помогли.
http://virusinfo.info/showthread.php?t=192100
Подобная тема было там же в июле.
http://virusinfo.info/showthread.php?t=187588
в итоге:
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
tbauth.dll - TBAuth protocol handler, вроде как системный.
Сообщение было изменено Dmitry Shutov: 01 Ноябрь 2015 - 22:15
#12
Отправлено 01 Ноябрь 2015 - 22:17
Согласно предоставленными Вами логи, вирусов нет.
1.Скорее всего причина связанна с включение AVZGuard, данная фича не корректно работает в x64 системах.AVZ продолжает говорить про маскировки процессов и перехваты функций. Так и должно быть? (О,о)
Cистемные события:
Error: (07/26/2015 11:24:10 AM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\WINDOWS\SysWow64\Drivers\utewmtcx.sys
Может проблема именно в AVZ )))
#13
Отправлено 01 Ноябрь 2015 - 22:20
tbauth.dll - TBAuth protocol handler, вроде как системный.
Эт да, системный, но его заражает что-то...в зуб практически даю)))
В общем, мой инет сейчас не алле.Ждите хелперов в понедельник.
#14
Отправлено 01 Ноябрь 2015 - 22:21
Выполнено.
Новый лог.
И кстати....если вы его в карантин пустили - откуда он взялся??
В общем, завтра ребята посмотрят
Сообщение было изменено brisyo: 01 Ноябрь 2015 - 22:22
#15
Отправлено 01 Ноябрь 2015 - 22:28
Да что-то он не удаляется.
Ладно, завтра разберемся!
#16
Отправлено 02 Ноябрь 2015 - 18:07
На форуме virusinfo сказали не обращать внимания.
В логах все чисто.
Всем спасибо!
Сообщение было изменено rustorkan: 02 Ноябрь 2015 - 18:08
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых