20 ответов в этой теме

[ssn]

Рабочий комп. CureIt удалил какой то троян. GMER показывает скрытый процесс.

Посмотрите логи.

Прикрепленные файлы:

•  gmer.log   50,04К   17 Скачано раз
•  report.zip   938,97К   18 Скачано раз
•  hijackthis.log   7,61К   11 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Internet]

Фиксить в хайджеке:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg

 

HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.amd.com/en-us/download/desktop?os=Windows%20XP%20-%20Professional/Home&RenderOnServer=true%20?%20XP%2032%20&%2064bit

 

Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll

 

BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - C:\Program Files\Yandex\FastDial\fastdial.dll

[Internet]

C:\WINDOWS.0\system32\jyrvc.dll вы про ето?

[ssn]

Doctor Antivirus,  Да, про этот процес.

[Internet]

В хайджеке фиксили?

[Internet]

Антивирусом этот файл сканировали?

[Aleksandra]

В хайджеке фиксили?

А зачем это фиксить?

Антивирусом этот файл сканировали?

Этого файла на диске уже нет.

Сообщение было изменено Aleksandra: 14 Август 2015 - 21:13

[Internet]

А зачем это фиксить?

Ну не помешает и не повредит компьютеру.

Этого файла на диске уже нет.

???Давно?

[Aleksandra]

GMER показывает скрытый процесс.

А Вы на кнопку Scan нажимали или просто GMER запустили?

[ssn]

Лог GMER снимал как в wiki  написано. После стартового сканирования поставил три галочки

[ssn]

Сейчас посмотрел прикрепленный лог, такое впечатление, что он не полный. Переделать могу только в пн. Если мне память не изменяет, на этот процесс были ссылки в реестр, и не одна, а несколько. А в логе их нет.

К сожалению, толком пользоваться GMER Я не умею.

RKU то же ругается на этот процесс, так же как и утилита от касперского, которая руткиты смотрит.

[Aleksandra]

Сейчас посмотрел прикрепленный лог, такое впечатление, что он не полный. Переделать могу только в пн. Если мне память не изменяет, на этот процесс были ссылки в реестр, и не одна, а несколько. А в логе их нет.

Это было понятно изначально. Жду от Вас новый лог в понедельник.

[ssn]

Новые логи gmer и RKU 

Прикрепленные файлы:

•  gmer_17-08.log   16,51К   4 Скачано раз
•  RKU_log.txt   38,51К   1 Скачано раз

[mike 1]

 

 

Ну не помешает и не повредит компьютеру.

Чистить всякий мусор - это забота пользователя, а не хелпера. 

[Aleksandra]

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run).
 

gmer.exe -del service bnsgy
gmer.exe -del file "C:\WINDOWS.0\system32\jyrvc.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnsgy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnsgy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\bnsgy"
gmer.exe -reboot

Сделайте новый лог Gmer.

[Internet]

Чистить всякий мусор - это забота пользователя, а не хелпера.

Не спорю

[ssn]

Новый лог GMER

 

Прикрепленные файлы:

•  gmer_17-08-2.log   8,98К   4 Скачано раз

[Pavel Plotnikov]

Doctor Antivirus, вы осуществляете деструктивную деятельность.

Вам запрещено писать в данном разделе форума, также отключена система личных сообщений.

[Aleksandra]

Новый лог GMER

В логе аномалий не увидела. Еще проблемы есть?