19 ответов в этой теме

[Reco1]

Здравствуйте, такая проблема. Постоянно устанавливается браузер "АМИГО" , каждый раз удаляю, но толку нету. В папке "загрузки" постоянно скачивается какой то файл, название что то типо bat-kit, щас не могу посмотреть, так как эта папка вообще перестала открываться, выходит ошибка explorer.exe. Справа в нижнем углу периодически вылазит окна с надписью "Проверь свой Windows на ошибки" ,что то подобие этого. На сайте Вконтакте вылазили всякие рекламы, а где надписиь "аудиозаписи\видеозаписи\сообщения и  т.д." появлялись различные недписи, типо ЛОТЕРЕЯ, НАЙТИ РАБОТУ. Каждый день проверял вашим dr web cureit компьютер, находил по 3 трояна, лечил, но толку нету, каждый день одна и та же ситуация. Помогите пожалуйста решить эту проблему

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Reco1]

а да, еще открывается самостоятельно гугл хром, и там показывает сайт с  разными играми РЕГИСТРАЦИЯ и т.д

[Dmitry_rus]

Делать логи, чистить кэш и куки браузера, наличие в нем "левых" плагинов, проверять настройки DNS.

[Reco1]

Делать логи, чистить кэш и куки браузера, наличие в нем "левых" плагинов, проверять настройки DNS.

куки и кэш понял, остальное русским бы языком

[Reco1]

кстати, вот скрин, там в настройках браузера написано, что пользуются 2 пользователя, это нормально?

i.piccy.info/i9/ee13cf32c537b4ca006010a767533cb9/1424003699/160169/870333/Bezymiannyi.png

[Reco1]

http://rghost.ru/6rKVZbJYx

[Reco1]

я скинул архив, который сделал dwsysinfo

[Dmitry_rus]

Чистим все темпЫ - и системный (c:\windows\temp), и юзерский (c:\user\комп\appdata\local\temp). Читаем личку.

[Reco1]

(c:\user\комп\appdata\local\temp)

такое найти не могу

[Dmitry_rus]

Включить отображение скрытых и системных файлов. Каталог User в русскоязычных виндах обычно называется Пользователи.

У вас в диспетчере задач видны 3 программы с буквенно-цифровыми именами, стартующие из темпов.

Сообщение было изменено Dmitry_rus: 15 Февраль 2015 - 16:07

[Dmitry_rus]

kcyclggcyrn.exe	c:\users\комп\appdata\local\temp\b2f015f0-4298ad7a-b03baeb0-6215d594\kcyclggcyrn.exe
lpbky8oweb.exe	c:\users\комп\appdata\local\temp\b2f015f0-4298ad7a-b03baeb0-6215d594\lpbky8oweb.exe
xvhnp6uem.exe	c:\users\комп\appdata\local\temp\b2f015f0-4298ad7a-b03baeb0-6215d594\xvhnp6uem.exe

Это у нас кто?

[Полимер]

Это у нас кто?

Скорее всего куреит.

Reco1, 

Проверьте на virustotal.com:

 

 74.png   6,04К   0 Скачано раз

Сообщение было изменено Полимер: 15 Февраль 2015 - 16:40

[Reco1]

 

Это у нас кто?

Скорее всего куреит.

Reco1, 

Проверьте на virustotal.com:

 

74.png

 

node-webkit - вот эта шляпа постоянно скачивается и сидит в папке ЗАГРУЗКИ.

[Reco1]

 

Это у нас кто?

Скорее всего куреит.

Reco1, 

Проверьте на virustotal.com:

 

74.png

 

Сообщение было изменено Reco1: 15 Февраль 2015 - 17:44

[Reco1]

https://www.virustotal.com/ru/file/e1b402cf135bef903354fdd36458dbe3551d5c9c2d217b7add6b296444046975/analysis/1424012062/

https://www.virustotal.com/ru/file/5e15f2423ceb1aa6c3d416c244cdb1f0451c9deb64f43d0af9a59aa0ad7c02c0/analysis/1424011795/

https://www.virustotal.com/ru/file/47daba0d47f6e6e14f6775efb747c01845f32ca5b9ff0371c9ff0b7b53883a8f/analysis/1424011950/

[Полимер]

Reco1, 

Удалите из автозагрузки InstallMoney и перезагрузите ПК.

Сделайте лог HJ: http://wiki.drweb.com/index.php/HijackThis

[Reco1]

Reco1, 

Удалите из автозагрузки InstallMoney и перезагрузите ПК.

Сделайте лог HJ: http://wiki.drweb.com/index.php/HijackThis

поподробнее можно) автозагрузка где находится?

[Dmitry_rus]

http://forum.drweb.com/index.php?showtopic=320086&p=753265

[VVS]

Bibio, не офтопьте.

Создайте новую тему.

Модератор.