15 ответов в этой теме

[rustorkan]

Windows 10 64bit.
Eset Smart Security 8.

Прикрепленные файлы:

•  ADMIN-PC_KOSTET_011115_211952.zip   2,61Мб   0 Скачано раз
•  cureit.log   5,44Мб   0 Скачано раз
•  hijackthis.log   4,49К   3 Скачано раз
•  virusinfo_syscheck.zip   43,54К   2 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[brisyo]

Когда проявилось подозрение?

 

Вот это в карантин с помощью хайджека:

O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll

[rustorkan]

Проблема появилась 24.10.2015 г.

Как добавить в карантин с помощью хайджека?

[brisyo]

Поставить галочку, нажать "Fix checked", перезагрузиться

[rustorkan]

Выполнено.

Новый лог.

Прикрепленные файлы:

•  hijackthis.log   4,87К   3 Скачано раз

[brisyo]

Выполнено.

Если за роутером сидите - проверьте настройки DNS. Поставьте сложный пароль.

Далее очистить ВСЕ временные файлы системы и профиля с помощью Ccleaner.

После этого попробуйте обновления винды накатить. Пойдут?

 

Если обновление не пойдет или ОС будет тупить и уходить в бсод - вернуть из карантина сею запись.

Сообщение было изменено brisyo: 01 Ноябрь 2015 - 22:01

[Dmitry Shutov]

Подозрение на троянскую программы с FU-Based руткитом.....этот вердикт кто выдает? - Eset?

[brisyo]

Подозрение на троянскую программы с FU-Based руткитом.....этот вердикт кто выдает? - Eset?

Видимо, да, Дмитрий. Встречал такое уже 2 раза. Кончалось падением десятки (ОС) и никаких следов, достойных хантера...

 

Кстати, да...автор темы, что скажете?

[rustorkan]

Этот вердикт выдает AVZ.

Лог есть в начале темы.

[Dmitry Shutov]

Автор создал тему и на этом форуме, но пока не помогли.

http://virusinfo.info/showthread.php?t=192100

 

Подобная тема было там же в июле.

http://virusinfo.info/showthread.php?t=187588

 

в итоге:

 

Итог лечения

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены

 

tbauth.dll -  TBAuth protocol handler, вроде как системный.

https://www.virustotal.com/ru/file/75c89c1108f025868f8617547fce4764079a28740ae64f8062169ba1112fea2e/analysis/

Сообщение было изменено Dmitry Shutov: 01 Ноябрь 2015 - 22:15

[Dmitry Shutov]

 

 

Согласно предоставленными Вами логи, вирусов нет.

1.

 

AVZ продолжает говорить про маскировки процессов и перехваты функций. Так и должно быть? (О,о)

Скорее всего причина связанна с включение AVZGuard, данная фича не корректно работает в x64 системах.
Cистемные события:

Error: (07/26/2015 11:24:10 AM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\WINDOWS\SysWow64\Drivers\utewmtcx.sys

 

Может проблема именно в AVZ ))) 

[brisyo]

tbauth.dll -  TBAuth protocol handler, вроде как системный.

Эт да, системный, но его заражает что-то...в зуб практически даю)))

 

В общем, мой инет сейчас не алле.Ждите хелперов в понедельник.

[brisyo]

Выполнено.

Новый лог.

И кстати....если вы его в карантин пустили - откуда он взялся??

 

В общем, завтра ребята посмотрят

Сообщение было изменено brisyo: 01 Ноябрь 2015 - 22:22

[rustorkan]

Да что-то он не удаляется.

Ладно, завтра разберемся!

[rustorkan]

Т.к. файл системный, он просто восстановился после перезагрузки.
На форуме virusinfo сказали не обращать внимания.
В логах все чисто.

Всем спасибо!

Сообщение было изменено rustorkan: 02 Ноябрь 2015 - 18:08