10 ответов в этой теме

[Userko]

Описание проблемы.
***
Заподозрил, что исчезают файлы с папки с несистемного логического диска Д - куда я помещаю файлы, закачиваемые с Интернета. Было 5,5 ГБ. Хотя по памяти должно быть около 10 ГБ. Не первый раз замечаю пропажу файлов (это в основном электронные книги в разных форматах).
***
Зашел под именем администратора и решил почистить систему с помощью мастера устранения проблем утилиты AVZ. Выбирал известные и проверенные пункты. 

С помощью той же самой утилиты Зайцева смотрел какие файлы поставлены в автозапуск. В автозапуске были только нужные. А те что как бы системные но помеченные серым цветом скопировал в карантин.

Поскольку требовалась перезагрузка для программы, то ее и выполнил.
***
Также нужно отметить, что в этот день и день ранее сама операционная система как всегда обновилась. И потребовала перезагрузку.
***
После проверок и перезагрузки зашел в свою ограниченную учетную запись. И обнаружил,что исчезли закладки для браузера Гугл Хром.

Сегодня днем обнаружил, что исчезли следующие браузеры: Яндекс, от Майл Ру, Амиго, Нихром, и другие. И их объединяет то, что они созданы на основе браузера Хромиум.

Зато Гугл Хром то остался. В списке программ к примеру Яндекс браузер есть. Но физически файлов то нет.

И еще стало приходить много запросов брандмауэра ДрВэб - хотя был выбран автоматический режим (скриншот 1).

При соединение с Интернет появилось окно с текстом: "Брандмауэр Dr.Web обнаружил изменение приложения" для winlogon.exe. При этом написано, что цифровая подпись не подписана (скриншот 2).

И как раз когда стало много окон от брандмауэра хотел поставить правило допустим для utorrent.exe и там были показаны 4 системные файлы (скриншот 3).

Как я понимаю 4 файла были подменены - ведь без цифровой подписи.
***
Возможно нужно будет выполнить восстановление системы с помощью средств самой ОС (на точку восстановления на 2 дня ранее (скриншоты далее).

логи работы 3 программ - сканера Drweb (быстрая проверка и проверка папки пользователей) , штатный отчет Drweb и Hijackthis будут ниже.
Сообщается при попытке загрузки "Internal Server Error".

Прикрепленные файлы:

•  точки восст.JPG   54,56К   0 Скачано раз
•  восст сист затр прогр часть 1.JPG   76,25К   0 Скачано раз
•  прог и др кот буд уд часть 2.JPG   81,69К   0 Скачано раз
•  прог и др кот буд уд часть 3.JPG   81,79К   0 Скачано раз
•  прог и др кот буд уд часть 4.JPG   77,64К   0 Скачано раз
•  сет прил зап неизв проц.JPG   39,7К   0 Скачано раз
•  Снимок.PNG   19,41К   0 Скачано раз
•  4 файла.JPG   61,96К   0 Скачано раз
•  avz_autorun.htm   50,1К   2 Скачано раз
•  вкл приватность.JPG   100,42К   0 Скачано раз
•  вкл чистка системы.JPG   62,98К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Userko]

можете пока не отвечать - раз проблема с загрузкой таких больших отчетов. Обязательно попробую закачать на облако мэил ру и здесь разместить ссылку.
Некоторые скриншоты не по порядку.

[Полимер]

Userko, Посмотрите в карантине, может быть хромиум там.

[Userko]

В карантине ничего нет.
Постоянно появляются окна брандмауера ДрВэб и приходится делать разрешения для неподписанных системных файлов.

Как бы проблема из-за обновления самой ОС. И еще во всех этих браузерах я пользовался соц.сетью вконтакте. И еще оказался удаленным браузер Torch.

[usverg]

На основе приведённых данных смею предположить заражение с вероятностью 99.99%. Причём, похоже, есть частичное нарушение работы установленного Dr.Web. Следующим Вашим действием должен быть запуск LiveDisk-а + резервирование (по возможности) критически важных данных.

[Userko]

Работаю всегда из учетной записи с ограниченными правами. Тогда было включено автоматическое обновление ОС. И как раз требовало перезагрузки. Тем же Яндекс браузером я то пользовался.
Зашел в учетную запись администратора. Скопировал данные с ЖД на другой носитель.
...

Отчет быстрой проверки сканера ДрВэб
https://cloud.mail.ru/public/b9eff908f245%2F1_1%20%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F%20%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0%20dwscanner.log

Отчет проверки папки пользователей сканера ДрВэб
загружается. прервался. выложу позже

Отчет Haijackthis
https://cloud.mail.ru/public/03666007f276%2F2%20%D0%BE%D1%82%D0%BA%D1%80%20%D1%82%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE%20%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80%20%D0%B3%D1%83%D0%B3%D0%BB%20%D1%85%D1%80%D0%BE%D0%BC%20hijackthis.log

Мастер отчетов
https://cloud.mail.ru/public/67277d41215b%2F3%20%D0%BC%D0%B0%D1%81%D1%82%D0%B5%D1%80%20%D0%BE%D1%82%D1%87%D0%B5%D1%82%D0%BE%D0%B2%202012_1_161014_222025.zip

[usverg]

C:\Windows\system32\drivers\etc\host - подменён, хотя может и Вами (83.222.15.130 forum.megafonkavkaz.ru, 83.222.15.130 www.forum.megafonkavkaz.ru)

 

Следы от "чего-то":

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

 

[pig]

"Следы" - глюки HJT на x64.

[usverg]

Странно что у меня таких глюков нет.

[Userko]

файл host подменял сам.
еще попробую конечно самостоятельно посмотреть журнал событий Уиндоус насчет странных пунктов, но пока загрузился с
ЛайвДиск от ДрВэб (конечно несколько не свежий) и проверяю.

(И не по теме. Удалось настроить соединение с Вай-Фай своей, обновить базы и поставить русский язык на ввод текста- пишу как раз с загруженного лайвдиска). Так что проверяю свежими базами.

Отчет проверки папки пользователей сканера ДрВэб. Вс необходимое уже загрузил.
https://cloud.mail.ru/public/b30dccae9104%2F1_2%20%D1%81%20%D1%8E%D0%B7%D0%B5%D1%80%D1%81%20dwscanner.log

Еще проверяется. Есть конечно версии почему исчезли браузеры - как будто вручную были удалены через интернет. Как и скачанные файлы.
И еще в событиях увидел, что то отключалась, то включалась самозащита ДрВэб. По-видимому действительно работа ДрВэб была нарушена.