Перейти к содержимому


Фото
- - - - -

Почему CureIt не может уничтожить Полонского?


  • Please log in to reply
16 ответов в этой теме

#1 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 09:42

Если не трогать компьютер, то через неск. минут открывается новая вкладка в браузере с рекламой вида: "Я Иван Полонский и сейчас я вам расскажу, как можно заработать деньги в интернете..."

 

Очевидно же, что это вредоносное ПО!

 

Удаление браузеров, куков и прочего не помогло. Расширений не установлено. Антивирусы CureIt  и Avast ничего не видят.

 

В сети предлагают бороться скачав различные программы и удалением записей из реестра.

 

К сожалению пробоводить подобные испытания на рабочем компьютере пока нет возможности.

 

Может все -таки лаборатория DrWeb уничтожит этого хада  :rolleyes:

 

 



#2 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 20 Сентябрь 2014 - 10:08

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:


  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 10:35

Да этот Полонский уже многих достал со своим казино  :angry:    Может можно разработать универсальное лечение, а не копаться в логах каждого постродавшего. Хорошо, сейчас сделаю все логи и выложу сюда. Очистим рунет от сволочей вместе!  :)



#4 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 11:33

Вот, посмотрите http://файлообменник.рф/wb8zbde8b7bd.html



#5 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 20 Сентябрь 2014 - 14:26

Ilya1983, Скачать файл: Report.zip (8,84 Мб)
Время скачивания: в бесплатном режиме 2 мин. 9 сек., в Турбо-режиме 8 сек.

Сюда нельзя что ли ? А вообще у вас SpIDerGate установлен ? Он обычно с такими вещами борется.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#6 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 20 Сентябрь 2014 - 15:02

Прикрепленный файл  Report.zip   8,84Мб   3 Скачано раз


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#7 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 20 Сентябрь 2014 - 15:18

Прокси Вы сами прописывали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=31.186.234.58:80


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#8 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 16:47

 

 

Сюда нельзя что ли ?

На форум 9мб как то...

 

 

Прокси Вы сами прописывали?

Я пользуюсь прокси каждый день. Ток не знаю каким. Может и этим  :blush:



#9 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 16:51

 

 

А вообще у вас SpIDerGate установлен ?

У меня Avast стоял. Он на этого Полонского не реагировал. CureIt быстрой проверкой угроз не находил. При создании логов CureIt нашла 2-е угрозы. Одну удалил, 2-ую переместил в карантин, или куда там... Сейчас пробную версию DrWeb поставил. Если эта рожа пропадет с моего экрана, буду покупать лицензию DrWeb  :D



#10 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 17:15

 

 

А вообще у вас SpIDerGate установлен ?

Gate за пол дня уже 10 Урлов заблокировал  O_o   Вообще интересно, при попытке использ. разных браузеров, выскакивала разная реклама. При использ. Chrome -постоянно кричал Avast о блокировке вредоносного урла. При использ. IE - выскакива реклама онлайн-игр, при использол. Opera - выскакивает Полонский со своим казино.

Кстать, не хочу клеветать, но грешу на PalTalk messenger. Некоторое время назад, Avast активно блокировал PalTalk из-за угрозы. Потом перестал, вроде после этого стали эти рекламные сайты выскакивать.



#11 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 20 Сентябрь 2014 - 17:44

Ilya1983, А где такое взять ? jdk1.8.0_05


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#12 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 19:22

 

 

Ilya1983, А где такое взять ? jdk1.8.0_05

На оффициальном сайте   :)   Это платформа Java для разработчиков (Oracle)


Сообщение было изменено Ilya1983: 20 Сентябрь 2014 - 19:23


#13 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 20 Сентябрь 2014 - 22:35

Нужно новый лог HijackThis log, что бы отследить изменения и не совсем понятно как себя чувствует пациент.  :)

Остались записи от сервисов (разработчики знают что с этим делать ?)

Spoiler

Сообщение было изменено l.e.e.: 20 Сентябрь 2014 - 22:37

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#14 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 23:29

что это за программа я не знаю. А мог эту программу CureIt удалить? Потому что, когда я запустил батник CureIt написала, что нашла какойт троян и удалила его.

 

Ну за пол дня Полонский больше не выскакивал. Только уже не возможно понять. То ли это cureit его удалила, то ли это Guard работает.

Прикрепленные файлы:



#15 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 20 Сентябрь 2014 - 23:42

Выполните в командной строке от администратора -

sc delete dealplylive & sc delete dealplylivem

Так же откройте - Панель управления\Все элементы панели управления\Администрирование\Планировщик заданий - и удалите все задания с dealply (там 3 шт).


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#16 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 20 Сентябрь 2014 - 23:50

Все удалил



#17 Ilya1983

Ilya1983

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 21 Сентябрь 2014 - 19:39

Прошло 1.5 суток, пока все чисто. Похоже все получилось. Всем большое спасибо!  :)




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых