25 ответов в этой теме

[Наталья_69]

Добрый день! У меня возникла следующая проблема: 

При открытии браузера загружается не стандартная начальная страница, а различные сайты с рекламой. Кроме того, раз в 10-30 минут загружается сайт appbusy.com. Появляется он не в виде дополнительной вкладки, а как отдельное окно браузера. Лечение утилитой Dr. Web проблему не решило.

 

cureit.log:

https://yadi.sk/i/JXol2jrpeY4VX 

 

hijackthis:

https://yadi.sk/i/N57WLE_MeY4YW

 

SysInfo:

https://yadi.sk/d/Cmg9YMLgeY4aS

 

Заранее спасибо!

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[fetch]

Залейте на virustotal.com, ссылку на результаты сюда:

C:\Documents and Settings\Админ\Local Settings\Application Data\wincheck\wincheck.exe

O23 - Service: AS Service component (serveras) - Unknown owner - C:\Documents and Settings\Админ\Application Data\ASPackage\ASSrv.exe

O23 - Service: CA Service component (serverca) - Unknown owner - C:\Documents and Settings\Админ\Local Settings\Application Data\ConvertAd\CASrv.exe

 

Пофиксите в HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ebece1d2d27a81def0af287a11a0e4d&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ebece1d2d27a81def0af287a11a0e4d&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ebece1d2d27a81def0af287a11a0e4d&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ebece1d2d27a81def0af287a11a0e4d&text=

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ebece1d2d27a81def0af287a11a0e4d&text=

 

 

 

[Наталья_69]

Извините, я - полный "чайник". Не поняла, что надо сделать. Не могли бы Вы "разжевать"?

[l.e.e.]

Пофиксите в HijackThis

Выделить строки и пофиксить (fix checked)

https://www.virustotal.com

отправить файлы и после проверки скопировать адресную строку и показать её тут (это ссылка на результат сканирования).

Сообщение было изменено l.e.e.: 08 Февраль 2015 - 18:12

[Наталья_69]

Пофиксить не получается, т.к. изначально лог Хайджеком я выполнила не правильно. Сделать правильный лог программа не дает. Сейчас опять попробовала - результат тот же. Скриншот прилагаю.

[thyrex]

Простите, а что Вы понимаете под словами?

изначально лог Хайджеком я выполнила не правильно. Сделать правильный лог программа не дает

И где обещанный скриншот?

[SergM]

Наталья_69, Лог HJ надо делать от имени администратора.

[Наталья_69]

Я имею ввиду, что после запуска Хайджека был выбран пункт "Do a system scan and save a logfile". Инструкцию, к сожалению, увидела уже после того, как отчет был сформирован.
Файл со скриншотом не прикрепляется.

[SergM]

Наталья_69, Что мешает повторно запустить HJ (от имени администратора) и таки пофиксить предложенное выше?

[Наталья_69]

Подскажите пожалуйста, что я делаю не так.

После того, как скачалась утилита, нажимаю на нее правой кнопкой мыши, выбираю "Запуск от имени"- далее "Выполнить" - далее "Учетную запись текущего пользователя (Админ)" - ОК.
ОШИБКА 481

Если выбираю "Учетную запись указанного пользователя" - Пользователь Администратор" - ОК.

ОШИБКА: Не удается войти в систему. Вход в систему не произведен: имеются ограничения.

[Dmitry_rus]

Попробуйте  изменить: Панель управления > Администрирование > Локальные параметры безопасности > Локальные политики > Назначение прав пользователя > Отказ в доступе к компьютеру из сети.

Из списка пользователей там необходимо удалить всех, кроме SUPPORT_*. Это позволит подключаться к машине под аккаунтом Гость (если на включена локально).

См. личные сообщения.

[Наталья_69]

В списке пользователей оставила только SUPPORT (удалила Гость). При запуске HJ результат тот же.

[l.e.e.]

У вас ХР ? тогда не надо от администратора, либо поставьте галку как на скрине. (или снять, уже не помню..)

Сообщение было изменено l.e.e.: 09 Февраль 2015 - 18:40

[Наталья_69]

У меня XP. Делала и как на скрине, и от Администратора. ОШИБКИ (см. мой ответ в 11:29).

[l.e.e.]

А если просто двойным кликом запустить ?

[Наталья_69]

Добрый день.  Установила пробную версию Dr.Web. Но,  похоже,  он не все вирусы удалил. У меня сейчас в ПК  болтаются какие-то подозрительные EXE-шники: RUNDLL32.exe, RTHDCPL.exe. Что это?

[VVS]

Добрый день.  Установила пробную версию Dr.Web. Но,  похоже,  он не все вирусы удалил. У меня сейчас в ПК  болтаются какие-то подозрительные EXE-шники: RUNDLL32.exe, RTHDCPL.exe. Что это?

Что обозначает словосочетание "У меня сейчас в ПК болтаются какие-то подозрительные EXE-шники"?

[Наталья_69]

В настройках системы на закладке "Автозагрузка" помимо файлов программных файлов видно и эти. 

[Dmitry_rus]

Как я понял, вашей квалификации недостаточно для выполнения описанных действий. Могу предложить удаленную помощь - т.е. зайду с помощью специальной программы на вашу машину и будем смотреть вместе, в режиме реального времени, что у вас происходит. Ну и чинить, по возможности...
Если такой вариант вас устраивает - пишите. Дам ссылку на программу (TeamViewer), которую вы должны будете скачать и запустить на своем компьютере.

Проверьте личные сообщения.

 drw.JPG   9,14К   0 Скачано раз