24 ответов в этой теме

[nonly]

Нужна ваша помощь! Появился редирект на мэйлру. Во время сканирования антивирусом пытается установить левое ПО. Находит штук по шесть вирусов, лечит,  но ситуация от этого не меняется.

 

Ссылка на логи сканера http://my-files.ru/xssm5o

Прикрепленные файлы:

•  1_пользователь_020816_160215.zip   9,08Мб   5 Скачано раз
•  1_пользователь_020816_160749.zip   9,77Мб   0 Скачано раз
•  hijackthis.log   10,91К   6 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Ivan Korolev]

Поместите в архив с паролем virus содержимое следующих каталогов:

 

C:\Program Files (x86)\badu\

C:\ProgramData\\CloudPrinter\\

C:\Program Files (x86)\GTFPOQUOTT Updater\

C:\Program Files (x86)\WebShield\

C:\ProgramData\uwinpu\

C:\Program Files (x86)\WinSaber\

C:\Program Files (x86)\WinZipper\

 

Полученный архив пришлите через форму http://vms.drweb.com/sendvirus/категория - подозрение на вирус. Как получите номер тикета, укажите его здесь.

[nonly]

Нет такой папки ProgramData

[Vadimka]

Нет такой папки ProgramData

Есть. Включите отображение скрытых файлов.

[nonly]

Win 10 на ней не в курсе как включить

[nonly]

Все, разобрался

[nonly]

Из всего списка не нашел только вот это C:\Program Files (x86)\GTFPOQUOTT Updater\

[nonly]

drweb.com #7126017

[Ivan Korolev]

Файлы в каталоге C:\Program Files (x86)\badu\ действительно имеют нулевой размер или просто залились битыми?

 

Удаляйте каталоги:

C:\ProgramData\\CloudPrinter\\

C:\Program Files (x86)\WebShield\

C:\ProgramData\uwinpu\

C:\Program Files (x86)\WinSaber\

C:\Program Files (x86)\WinZipper\

 

Фиксите в hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPtD4YKNNDe8_k3-eyzNeTQmPyYIHxxyEIhfB1veazHb30EACuXSVuugK4S7ZG_DHNN8Oma2ZdPhx4zRZO08j6QuScmrViyba87m2fSG8iunGzJ6WKSf5ma1QxQCALko74HdT5mfdwKy1yEni9dLdPXM7iPHGMLFXrXY4VO694,&q={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPtD4YKNNDe8_k3-eyzNeTQmPyYIHxxyEIhfB1veazHb30EACuXSVuugK4S7ZG_DHNN8Oma2ZdPhx4zRZO08j6QuScmrViyba87m2fSG8iunGzJ6WKSf5ma1QxQCALko74HdT5mfdwKy1yEni9dLdPXM7iPHGMLFXrXY4VO694,&q={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPtD4YKNNDe8_k3-eyzNeTQmPyYIHxxyEIhfB1veazHb30EACuXSVuugK4S7ZG_DHNN8Oma2ZdPhx4zRZO08j6QuScmrViyba87m2fSG8iunGzJ6WKSf5ma1QxQCALko74HdT5mfdwKy1yEni9dLdPXM7iPHGMLFXrXY4VO694,&q={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPtD4YKNNDe8_k3-eyzNeTQmPyYIHxxyEIhfB1veazHb30EACuXSVuugK4S7ZG_DHNN8Oma2ZdPhx4zRZO08j6QuScmrViyba87m2fSG8iunGzJ6WKSf5ma1QxQCALko74HdT5mfdwKy1yEni9dLdPXM7iPHGMLFXrXY4VO694,&q={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820521

O4 - HKLM\..\Run: [apphide] C:\Program Files (x86)\badu\uc.exe

O23 - Service: CloudPrinter - Unknown owner - C:\ProgramData\\CloudPrinter\\CloudPrinter.exe

O23 - Service: Gidighttueward Schedule (GdgscheduleService) - Unknown owner - C:\Program.exe (file missing)

O23 - Service: GTFPOQUOTT Updater - Unknown owner - C:\Program Files (x86)\GTFPOQUOTT Updater\GTFPOQUOTT Updater.exe (file missing)

O23 - Service: Line Topology Playlist (lyzuzufozbt) - Unknown owner - C:\Program.exe (file missing)

O23 - Service: KphLevUAcI (RkHzWabO) - Unknown owner - C:\Program Files (x86)\WebShield\WebShield.exe

O23 - Service: WFini WdMan Service (WdMan) - WFini LIMITED - C:\ProgramData\uwinpu\WFini.exe

O23 - Service: winsaber - Unknown owner - C:\Program Files (x86)\WinSaber\WinSaber.exe

O23 - Service: WinZiper service (winzipersvc) - ExWzp Pvt Ltd. - C:\Program Files (x86)\WinZipper\winzipersvc.exe

 

Если первый из указанных DNS не ваш, тогда фиксите и выставляйте гугловский (8.8.8.8) или от провайдера.

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7909d07f-e495-4e43-b256-941adf76caca}: NameServer = 87.118.74.138,8.8.8.8

[nonly]

Файлы в каталоге C:\Program Files (x86)\badu\ действительно имеют нулевой размер или просто залились битыми?

 

Как это узнать?

 

O23 - Service: Gidighttueward Schedule (GdgscheduleService) - Unknown owner - C:\Program.exe (file missing)

 

Нет такого

 

O23 - Service: Gidighttueward Schedule (GdgscheduleService) - Unknown owner - C:\Program.exe (file missing)

 

И этого тоже

 

O23 - Service: Line Topology Playlist (lyzuzufozbt) - Unknown owner - C:\Program.exe (file missing)

O23 - Service: KphLevUAcI (RkHzWabO) - Unknown owner - C:\Program Files (x86)\WebShield\WebShield.exe
O23 - Service: WFini WdMan Service (WdMan) - WFini LIMITED - C:\ProgramData\uwinpu\WFini.exe
O23 - Service: winsaber - Unknown owner - C:\Program Files (x86)\WinSaber\WinSaber.exe
O23 - Service: WinZiper service (winzipersvc) - ExWzp Pvt Ltd. - C:\Program Files (x86)\WinZipper\winzipersvc.exe

 

Этого всего тоже нет

 

DNS не мой, выставил от провайдера. Продолжает вылазить непонятное окно предлагающее установить ПО и поиск мэйлру. Прилагаю свежие логи http://muonium.rgho.st/779Ck7gk6

Прикрепленные файлы:

•  hijackthis.log   10,04К   3 Скачано раз

[bystander]

У вас в планировщике заданий, есть две подозрительные работенки:

MzIzNTM0Mzc=.job

UrlControl.job

Откройте их по очереди и посмотрите пути, что они запускают не понятно:

C:\Users\пользователь\AppData\Local\MzIzNTM0Mzc=\s_inst.exe

C:\Users\пользователь\AppData\Roaming\UrlControl_\url_opener.exe

Так же посмотрите есть ли они в наличии на диске, по указанным путям, если есть шлите в вирусную лабораторию, после задания, и сами тела (если они есть) можно убить.

Сообщение было изменено bystander: 07 Август 2016 - 20:02

[Ivan Korolev]

Отправьте в вирлаб содержимое папок (в запароленном архиве): 

 

C:\Users\пользователь\AppData\Roaming\TSv\

C:\Users\пользователь\AppData\Roaming\gplyra\

 

C:\Users\пользователь\AppData\Roaming\UrlControl\

C:\Program Files (x86)\mpck\

C:\Program Files (x86)\Uncheckit\

c:\program files (x86)\8a000520-1468690496-11dd-8333-f832e49cfc05\

 

и файл:

C:\WINDOWS\TEMP\CAAC.tmp

 

В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"

Сообщение было изменено Ivan Korolev: 08 Август 2016 - 10:15

[nonly]

и файл:
C:\WINDOWS\TEMP\CAAC.tmp

Нет его

В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"

Не удаляет, минуты три висит процесс, затем удаляет, но файлы остаются на месте

[nonly]

[drweb.com #7139075].

[nonly]

В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"

После перезагрузки удалось удалить

[Ivan Korolev]

[drweb.com #7139075].

 

Через два-три часа сделайте полную проверку сканером и примените действие "Лечить", затем перезагрузитесь и удалите каталоги, которые вы присылали.

Затем снимите новые логи, посмотрим сумело ли что-то выжить.

Сообщение было изменено Ivan Korolev: 10 Август 2016 - 12:57

[mike 1]

Ivan Korolev, а не проще AdwCleaner пройтись, а потом при необходимости взять его карантин? 

Сообщение было изменено mike 1: 10 Август 2016 - 20:43

[nonly]

Через два-три часа сделайте полную проверку сканером и примените действие "Лечить"

 

Удалил поздно прочел

 

SysInfo http://my-files.ru/rp9koc

Прикрепленные файлы:

•  hijackthis.log   9,43К   1 Скачано раз

[nonly]

После переустановки хрома, заодно ставятся все расширения мэйлру, хотя поиск гугловский, по крайней мере пока