Нужна ваша помощь! Появился редирект на мэйлру. Во время сканирования антивирусом пытается установить левое ПО. Находит штук по шесть вирусов, лечит, но ситуация от этого не меняется.
Ссылка на логи сканера http://my-files.ru/xssm5o
Отправлено 02 Август 2016 - 11:50
Нужна ваша помощь! Появился редирект на мэйлру. Во время сканирования антивирусом пытается установить левое ПО. Находит штук по шесть вирусов, лечит, но ситуация от этого не меняется.
Ссылка на логи сканера http://my-files.ru/xssm5o
Отправлено 02 Август 2016 - 11:50
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Отправлено 02 Август 2016 - 12:08
Поместите в архив с паролем virus содержимое следующих каталогов:
C:\Program Files (x86)\badu\
C:\ProgramData\\CloudPrinter\\
C:\Program Files (x86)\GTFPOQUOTT Updater\
C:\Program Files (x86)\WebShield\
C:\ProgramData\uwinpu\
C:\Program Files (x86)\WinSaber\
C:\Program Files (x86)\WinZipper\
Полученный архив пришлите через форму http://vms.drweb.com/sendvirus/категория - подозрение на вирус. Как получите номер тикета, укажите его здесь.
Отправлено 02 Август 2016 - 17:53
Нет такой папки ProgramData
Отправлено 02 Август 2016 - 17:55
Нет такой папки ProgramData
Есть. Включите отображение скрытых файлов.
Отправлено 02 Август 2016 - 17:59
Win 10 на ней не в курсе как включить
Отправлено 02 Август 2016 - 18:05
Все, разобрался
Отправлено 02 Август 2016 - 18:17
Из всего списка не нашел только вот это C:\Program Files (x86)\GTFPOQUOTT Updater\
Отправлено 02 Август 2016 - 18:31
drweb.com #7126017
Отправлено 03 Август 2016 - 10:16
Файлы в каталоге C:\Program Files (x86)\badu\ действительно имеют нулевой размер или просто залились битыми?
Удаляйте каталоги:
C:\ProgramData\\CloudPrinter\\
C:\Program Files (x86)\WebShield\
C:\ProgramData\uwinpu\
C:\Program Files (x86)\WinSaber\
C:\Program Files (x86)\WinZipper\
Фиксите в hijackthis:
Отправлено 07 Август 2016 - 12:47
Файлы в каталоге C:\Program Files (x86)\badu\ действительно имеют нулевой размер или просто залились битыми?
Как это узнать?
O23 - Service: Gidighttueward Schedule (GdgscheduleService) - Unknown owner - C:\Program.exe (file missing)
Нет такого
O23 - Service: Gidighttueward Schedule (GdgscheduleService) - Unknown owner - C:\Program.exe (file missing)
И этого тоже
O23 - Service: Line Topology Playlist (lyzuzufozbt) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: KphLevUAcI (RkHzWabO) - Unknown owner - C:\Program Files (x86)\WebShield\WebShield.exe
O23 - Service: WFini WdMan Service (WdMan) - WFini LIMITED - C:\ProgramData\uwinpu\WFini.exe
O23 - Service: winsaber - Unknown owner - C:\Program Files (x86)\WinSaber\WinSaber.exe
O23 - Service: WinZiper service (winzipersvc) - ExWzp Pvt Ltd. - C:\Program Files (x86)\WinZipper\winzipersvc.exe
Этого всего тоже нет
DNS не мой, выставил от провайдера. Продолжает вылазить непонятное окно предлагающее установить ПО и поиск мэйлру. Прилагаю свежие логи http://muonium.rgho.st/779Ck7gk6
Отправлено 07 Август 2016 - 20:01
У вас в планировщике заданий, есть две подозрительные работенки:
MzIzNTM0Mzc=.job
UrlControl.job
Откройте их по очереди и посмотрите пути, что они запускают не понятно:
C:\Users\пользователь\AppData\Local\MzIzNTM0Mzc=\s_inst.exe
C:\Users\пользователь\AppData\Roaming\UrlControl_\url_opener.exe
Так же посмотрите есть ли они в наличии на диске, по указанным путям, если есть шлите в вирусную лабораторию, после задания, и сами тела (если они есть) можно убить.
Сообщение было изменено bystander: 07 Август 2016 - 20:02
Отправлено 08 Август 2016 - 10:15
Отправьте в вирлаб содержимое папок (в запароленном архиве):
C:\Users\пользователь\AppData\Roaming\TSv\
C:\Users\пользователь\AppData\Roaming\gplyra\
C:\Users\пользователь\AppData\Roaming\UrlControl\
C:\Program Files (x86)\mpck\
C:\Program Files (x86)\Uncheckit\
c:\program files (x86)\8a000520-1468690496-11dd-8333-f832e49cfc05\
и файл:
C:\WINDOWS\TEMP\CAAC.tmp
В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"
Сообщение было изменено Ivan Korolev: 08 Август 2016 - 10:15
Отправлено 09 Август 2016 - 18:11
и файл:
C:\WINDOWS\TEMP\CAAC.tmp
Нет его
В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"
Не удаляет, минуты три висит процесс, затем удаляет, но файлы остаются на месте
Отправлено 09 Август 2016 - 18:27
[drweb.com #7139075].
Отправлено 10 Август 2016 - 09:41
В каталоге "C:\Windows\Tasks\" удалить "MzIzNTM0Mzc=.job" и "UrlControl.job"
После перезагрузки удалось удалить
Отправлено 10 Август 2016 - 12:56
[drweb.com #7139075].
Через два-три часа сделайте полную проверку сканером и примените действие "Лечить", затем перезагрузитесь и удалите каталоги, которые вы присылали.
Затем снимите новые логи, посмотрим сумело ли что-то выжить.
Сообщение было изменено Ivan Korolev: 10 Август 2016 - 12:57
Отправлено 10 Август 2016 - 20:43
Ivan Korolev, а не проще AdwCleaner пройтись, а потом при необходимости взять его карантин?
Сообщение было изменено mike 1: 10 Август 2016 - 20:43
Глубина - глубина, я не твой отпусти меня, глубина
Отправлено 10 Август 2016 - 22:24
Через два-три часа сделайте полную проверку сканером и примените действие "Лечить"
Удалил поздно прочел
SysInfo http://my-files.ru/rp9koc
Отправлено 10 Август 2016 - 22:26
После переустановки хрома, заодно ставятся все расширения мэйлру, хотя поиск гугловский, по крайней мере пока
0 пользователей, 0 гостей, 0 скрытых