Здравствуйте. При проверке Сureit показывает наличие данной дряни, в оперативной памяти и говорит, что обезврежено. Эта запись появляется каждый раз при открытии браузера Opera. Хотелось бы избавить себя и свой комп от присутствия паразитов. Заранее спасибо.
BackDoor.Andromeda.404
#1
Отправлено 24 Декабрь 2014 - 10:07
#2
Отправлено 24 Декабрь 2014 - 10:07
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 24 Декабрь 2014 - 12:13
Сделайте дамп процесса оперы и отправьте в вирлаб в категорию ложное срабатывание (vms.drweb.com/sendvirus/).
Как только получите номер тикета укажите его здесь.
#4
Отправлено 24 Декабрь 2014 - 12:15
Думаю нужно создать правило что нужно делать при детекте по памяти.
1. снять полный дамп процесса, например этой программой http://download.sysinternals.com/files/Procdump.zip
2. созданный тикет и отправить дамп
#5
Отправлено 24 Декабрь 2014 - 13:43
Простите за нубские вопросы. А можно подробней и по шагово?
#6
Отправлено 24 Декабрь 2014 - 21:08
Простите за нубские вопросы. А можно подробней и по шагово?
1) Запустите последний cureit
2) Запустите оперу
3) Создайте дамп процесса "оперы" (как именно> сюда: http://wiki.drweb.com/index.php/ProcessDump)
4) Отправить дамп сюда (указать категорию "ложное срабатывание"): https://vms.drweb.ru/sendvirus?lng=ru
5) Ждать ответа с номером тикета (drweb#бла-бла-бла (цифры)).
После прислать номер тикета личным сообщением товарищу i.korolev
Сообщение было изменено brisyo: 24 Декабрь 2014 - 21:09
#7
Отправлено 31 Декабрь 2014 - 19:03
Тоже была такая проблема. Отослал в техподдержку. Ответили, что ложное срабатывание. После последнего обновления проблема исчезла. Но появилась новая - при каждом запуске Firefox SpIDer Guard обнаруживает и перемещает в карантин SCRIPT.Virus acfb3f923a5... и т.д. Как посмотреть внутренность этого скрипта ?
Появляется и при всех отключенных дополнениях и расширениях.
Сообщение было изменено Бобан: 31 Декабрь 2014 - 19:04
#8
Отправлено 31 Декабрь 2014 - 19:38
Бобан, найдите Менеджер карантина и нажмите на файл "Восстановить как".
#9
Отправлено 25 Июль 2016 - 09:28
Несколько дней назад началась такая же ситуация - именно Opera (12.18) и BackDoor.Andromeda.404.
Если сразу после сообщения "обезврежен" остановить и перезапустить проверку оперативной памяти - снова обнаружение, и снова "обезврежен".
Смотрел в Process Monitor активность Оперы по файловой системе и реестру - никаких попыток читать/писать посторонние файлы или ветки.
Отослал дамп через форму сообщения о ложном срабатывании, но никакого идентификатора тикета или чего-то подобного не увидел. (P.S. - позже пришло сообщение на почту, там был номер - #7110166).
Сообщение было изменено Eugene Muzychenko: 25 Июль 2016 - 09:31
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых