Здравствуте, (на компьютере установлен антивирус аваст) недавно подхватил компьютер вирус и никак не могу от него избавиться. Скачивала курелит, проверяла, но проблемка не исчезла. Антивирус блокирует все сайты и выдает оповещения во всех браузерах. Пример оповещения в прикрепленной картинке. Прикреплены требуемые документы. Помогите пожалуйста.
#1
Отправлено 23 Май 2014 - 19:16
#2
Отправлено 23 Май 2014 - 19:16
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
Отправлено 23 Май 2014 - 21:57
http://www.sweet-page.com находится в базе нежелательных сайтов Dr.Web!
O4 - HKCU\..\Run: [$$config] C:\windows\svhost.exe - отправьте в virlab-> https://vms.drweb.com/sendvirus/?lng=ru
Затем пофиксить (HijackThis - Scan отметить строки - FixChecked) это и все строки содержащие sweet-page
#4
Отправлено 23 Май 2014 - 22:04
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489
Такие.
Сообщение было изменено l.e.e.: 23 Май 2014 - 22:04
#5
Отправлено 23 Май 2014 - 22:20
Вставьте в строку проводника (или пуск-выполнить) C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\ - в открывшейся папке найдите файл UPDATE~1.EXE (имя немного другое будет)
C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE и задание DSite.job - удалить (файлы сюда https://vms.drweb.com/sendvirus/?lng=ru)
Выполните в командной строке (от администратора win+r - cmd - ok -)
SC delete Wpm
затем C:\ProgramData\WPM\wprotectmanager.exe - удалить вместе с папкой.
Сообщение было изменено l.e.e.: 23 Май 2014 - 22:22
#6
Отправлено 23 Май 2014 - 22:23
Еще и свойства ярлыков запуска браузеров (поле Объект) проверьте на предмет лишнего после имени исполняемого файла
#7
Отправлено 23 Май 2014 - 22:40
c:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}gw64.sys - это в virlab
http://www.gmer.net/ - скачать, запустить, отметить галкой справа - 3rd party - после сканирования - save и приложить сюда.
(поочередно не запутаетсь )
#8
Отправлено 24 Май 2014 - 23:01
Вставьте в строку проводника (или пуск-выполнить) C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\ - в открывшейся папке найдите файл UPDATE~1.EXE (имя немного другое будет)
C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE и задание DSite.job - удалить (файлы сюда https://vms.drweb.com/sendvirus/?lng=ru)
Выполните в командной строке (от администратора win+r - cmd - ok -)
SC delete Wpm
затем C:\ProgramData\WPM\wprotectmanager.exe - удалить вместе с папкой.
Не нашла этого документа в указанной папке. Там только файлы .dot
#9
Отправлено 24 Май 2014 - 23:07
Если высылали файлы в вирлаб, укажите номера тикетов.
#11
Отправлено 25 Май 2014 - 14:40
Проблемы остались, в лабораторию не отправляла, т.к. там нужно ввести серийный номер, которого нету. Сейчас отправлю отчеты.
#12
Отправлено 25 Май 2014 - 14:42
т.к. там нужно ввести серийный номер, которого нету.
Не нужно. Если отсылать вирусы.
#13
Отправлено 25 Май 2014 - 15:10
Ну отсылать все равно нечего, нет этого файла в папке. Вот логи.
Прикрепленные файлы:
#14
Отправлено 25 Май 2014 - 17:31
Total records count: 5232025
Последнее обновление: 2014-05-25 13:51:02 MSK | Записей в вирусной в базе: 5255536
Итого разница в вирусных записях = 23511 (каждая может описывать до 1000 угроз и больше)
Скачайте свежую утилиту и проверьтесь.
Сообщение было изменено l.e.e.: 25 Май 2014 - 17:33
#15
Отправлено 25 Май 2014 - 19:31
Вот. Сделала.
Прикрепленные файлы:
#16
Отправлено 25 Май 2014 - 20:46
========
userscan
========
Process C:\Users\���\AppData\Local\MediaGet2\mediaget.exe:2400 - infected with Trojan.PWS.Panda.5661
========
litescan
========
C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe - is adware program Adware.Shopper.331
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe - is adware program Adware.Shopper.348
C:\Program Files (x86)\DealPly\uninst.exe - is adware program Adware.Shopper.388
C:\Program Files (x86)\SupTab\DpInterface64.dll - is adware program Adware.Mutabaha.50
C:\Program Files (x86)\SupTab\DpInterfacef32.dll - is adware program Adware.Mutabaha.50
C:\Program Files (x86)\SupTab\web\js\js.js - is adware program Adware.Mutabaha.50
Лучше сменить пароли от почты и других сервисов, особенно если хранились в браузере.
c:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}gw64.sys - проверьте свойства файла (кому принадлежит (avast?))
Откройте Панель управления - Программы и компоненты и поудаляйте (если есть указанные ниже имена программ, если нет удалите выделенные папки)
C:\Users\Яна\AppData\Roaming\sweet-page
C:\Users\Яна\AppData\Roaming\DSite
C:\Users\Яна\AppData\Roaming\DealPly
C:\Users\Яна\AppData\Roaming\SkyMonk
C:\Users\Яна\AppData\Roaming\Media Get LLC
Отпишитесь о результатах.
#17
Отправлено 25 Май 2014 - 21:59
Удалила выделенные папки, вот о свойствах указанного файла. Проблема не исчезла. Все так же выскакивает информация аваста.
Прикрепленные файлы:
#18
Отправлено 25 Май 2014 - 22:08
adwarecleaner - по ссылке скачается программа, запустите, нажмите сканировать, затем отчёт. (C:\AdwCleaner\AdwCleaner[R1].txt приложите)
#19
Отправлено 25 Май 2014 - 22:29
Вот отчет.
Прикрепленные файлы:
#20
Отправлено 25 Май 2014 - 22:31
Удалять не нужно ничего, я так поняла?
(программа предлагает удалить найденное)
Сообщение было изменено Dasha_das: 25 Май 2014 - 22:31
Also tagged with one or more of these keywords: url, mal
Русские форумы →
Общие вопросы →
Dr. Web и VirusTotalАвтор: AT2000 , 12 фев 2022 url, web, Link Checher, https и еще 3… |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Dr. Web Link Checker pluginАвтор: AT2000 , 24 янв 2022 Link Checker, plugin, web, http и еще 2… |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых