25 ответов в этой теме

[Dasha_das]

Здравствуте, (на компьютере установлен антивирус аваст) недавно подхватил компьютер вирус и никак не могу от него избавиться. Скачивала курелит, проверяла, но проблемка не исчезла. Антивирус блокирует все сайты и выдает оповещения во всех браузерах. Пример оповещения в прикрепленной картинке. Прикреплены требуемые документы. Помогите пожалуйста.

Прикрепленные файлы:

•  forum_drweb.rar   1,18Мб   4 Скачано раз
•  Безымянный.png   18,47К   0 Скачано раз
•  ЯНА-ПК_Яна_230514_200258.zip   7,93Мб   2 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[l.e.e.]

http://www.sweet-page.com находится в базе нежелательных сайтов Dr.Web!

O4 - HKCU\..\Run: [$$config] C:\windows\svhost.exe - отправьте в virlab-> https://vms.drweb.com/sendvirus/?lng=ru

Затем пофиксить (HijackThis - Scan отметить строки - FixChecked) это и все строки содержащие sweet-page

[l.e.e.]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.sweet-page.com/web/?type=ds&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.sweet-page.com/web/?type=ds&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.sweet-page.com/?type=hp&ts=1399996731&from=cor&uid=WDCXWD5000BPVT-75HXZT1_WD-WX71A517248972489

Такие.

Сообщение было изменено l.e.e.: 23 Май 2014 - 22:04

[l.e.e.]

Вставьте в строку проводника (или пуск-выполнить) C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\ - в открывшейся папке найдите файл UPDATE~1.EXE (имя немного другое будет)

C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE и  задание DSite.job - удалить (файлы сюда https://vms.drweb.com/sendvirus/?lng=ru)

Выполните в командной строке (от администратора win+r - cmd - ok -)

SC delete Wpm

затем C:\ProgramData\WPM\wprotectmanager.exe - удалить вместе с папкой.

Сообщение было изменено l.e.e.: 23 Май 2014 - 22:22

[thyrex]

Еще и свойства ярлыков запуска браузеров (поле Объект) проверьте на предмет лишнего после имени исполняемого файла 

[l.e.e.]

c:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}gw64.sys - это в virlab

http://www.gmer.net/ - скачать, запустить, отметить галкой справа - 3rd party - после сканирования - save и приложить сюда.

(поочередно не запутаетсь  )

[Dasha_das]

Вставьте в строку проводника (или пуск-выполнить) C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\ - в открывшейся папке найдите файл UPDATE~1.EXE (имя немного другое будет)

C:\Users\1BEE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE и  задание DSite.job - удалить (файлы сюда https://vms.drweb.com/sendvirus/?lng=ru)

Выполните в командной строке (от администратора win+r - cmd - ok -)

SC delete Wpm

затем C:\ProgramData\WPM\wprotectmanager.exe - удалить вместе с папкой.

Не нашла этого документа в указанной папке. Там только файлы .dot

[fetch]

Если высылали файлы в вирлаб, укажите номера тикетов.

[l.e.e.]

Если проблемы остались, делайте логи HijackThis и GMER.

[Dasha_das]

Проблемы остались, в лабораторию не отправляла, т.к. там нужно ввести серийный номер, которого нету. Сейчас отправлю отчеты.

[SergM]

т.к. там нужно ввести серийный номер, которого нету.

Не нужно. Если отсылать вирусы.

[Dasha_das]

Ну отсылать все равно нечего, нет этого файла в папке. Вот логи.

Прикрепленные файлы:

•  gmer1.log   585,59К   8 Скачано раз
•  hijackthis1.rar   4,75К   3 Скачано раз

[l.e.e.]

Total records count: 5232025

Последнее обновление: 2014-05-25 13:51:02 MSK | Записей в вирусной в базе: 5255536

Итого разница в вирусных записях = 23511 (каждая может описывать до 1000 угроз и больше)

Скачайте свежую утилиту и проверьтесь.

http://drw.sh/waqgim

Сообщение было изменено l.e.e.: 25 Май 2014 - 17:33

[Dasha_das]

Вот. Сделала.

Прикрепленные файлы:

•  Яна_20-29-21,38.zip   251,21К   2 Скачано раз

[l.e.e.]

========
userscan
========
Process C:\Users\���\AppData\Local\MediaGet2\mediaget.exe:2400 - infected with Trojan.PWS.Panda.5661
========
litescan
========

C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe - is adware program Adware.Shopper.331
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe - is adware program Adware.Shopper.348
C:\Program Files (x86)\DealPly\uninst.exe - is adware program Adware.Shopper.388
C:\Program Files (x86)\SupTab\DpInterface64.dll - is adware program Adware.Mutabaha.50
C:\Program Files (x86)\SupTab\DpInterfacef32.dll - is adware program Adware.Mutabaha.50
C:\Program Files (x86)\SupTab\web\js\js.js - is adware program Adware.Mutabaha.50

 

Лучше сменить пароли от почты и других сервисов, особенно если хранились в браузере.

c:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}gw64.sys - проверьте свойства файла (кому принадлежит (avast?))

 

Откройте Панель управления - Программы и компоненты и поудаляйте (если есть указанные ниже имена программ, если нет удалите выделенные папки)

C:\Users\Яна\AppData\Roaming\sweet-page

C:\Users\Яна\AppData\Roaming\DSite

C:\Users\Яна\AppData\Roaming\DealPly

C:\Users\Яна\AppData\Roaming\SkyMonk

C:\Users\Яна\AppData\Roaming\Media Get LLC

 

Отпишитесь о результатах.

[Dasha_das]

Удалила выделенные папки, вот о свойствах указанного файла. Проблема не исчезла. Все так же выскакивает информация аваста.

Прикрепленные файлы:

•  Безымянный1.png   92,31К   0 Скачано раз

[l.e.e.]

adwarecleaner - по ссылке скачается программа, запустите, нажмите сканировать, затем отчёт. (C:\AdwCleaner\AdwCleaner[R1].txt приложите)

[Dasha_das]

Вот отчет.

Прикрепленные файлы:

•  AdwCleanerR1.txt   8,54К   5 Скачано раз

[Dasha_das]

Удалять  не нужно ничего, я так поняла?

 

(программа предлагает удалить найденное)

Сообщение было изменено Dasha_das: 25 Май 2014 - 22:31