9 ответов в этой теме

[yuryreznik]

Здравствуйте!

Начну с того, что ноут (Win8) подключен к интернету через роутер.

 

Несмотря на то, что стоит DrWeb Space Security, как-то умудрился подцепить указанный винлок. Поискав в интернете, понял, что этот троян подменяет исходные DNS адреса своими, и в моем случае перенаправляет запросы из любого браузера на сайт mvd.ru. Spider Gate блокирует этот сайт, соответственно через браузеры попасть никуда не удается. TheBat тоже не может получить почту. DrWeb пишет, что обнаружена угроза, указывает угрозу как http://mvd.ru/(причем как правило 4 раза сразу), заблокировано SpiderGate, никаких ссылок на месторасположение вируса. Кстати название вируса выдает DrWeb.

Пошастав по интернету в поисках решения, нашел совет - в настройках сетевого подключения вирус заменяет адреса DNS на свои, соответственно советуют установить автоматическое определение DNS. Однако в моем случае стояло как раз автоматическое определение DNS, поскольку сетевое подключение установлено через роутер. Причем, когда я устанавливаю в настройках сетевого подключения свои адреса DNS (которые у меня настроены в роутере), все работает прекрасно, и почта и браузеры. 

Что делал. Поставил Drweb 10. Базы последние. Ничего не находит. CureIT тоже не находит. Проверял Malwarebytes Anti-Malware и GridinSoft Trojan Killer - ничего. Пробовал чистить историю браузеров и кэш DNS (CCleаner) - не помогает. Если поменять в настройках сетевого подключения DNS снова на автоматическое определение, то через некоторое время почта и браузеры снова блокируются вирусом.

Конечно, можно было бы оставить все как есть с постоянными настройками DNS, но это значит что в любой другой сети я не смогу пользоваться интернетом не зная адресов DNS, ведь вирус то продолжает сидеть где-то в системе.

 

Помогите, пожалуйста, победить троян.

 

И еще вопрос - может ли быть роутер заражен?

 

Логи прилагаю.

 

Заранее спасибо!

Прикрепленные файлы:

•  drweb logs.rar   420,75К   3 Скачано раз
•  hijackthis.rar   3,41К   9 Скачано раз
•  DrWeb SysInfo logs.rar   4,54Мб   5 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[VVS]

Проверьте настройки DNS в роутере.

[yuryreznik]

Дополнительно выкладываю логи ipconfig

Прикрепленные файлы:

•  ipc.log   2,46К   5 Скачано раз

[VVS]

И да - судя по написанному Вами, никакого winlock у Вас нет.

[pig]

Судя по написанному, winlock пытается скачаться с mvd.ru. А вот кто туда отправляет - это пока загадка.

[VVS]

Только вот сомневаюсь, что это настоящий mvd.ru

[yuryreznik]

Ну, mvd.ru, конечно не настоящий, это же троян-винлок, вымогалово, я его один раз все-таки посмотрел - отключил Spider Gate и глянул одним глазком ))). В инете полно картинок про mvd.ru и всяких описаний.

Теперь по делу. Спасибо всем за советы и внимание. Я и сам думал проверить роутер, но у меня была одна проблема. Роутер уже несколько месяцев не хотел пускать меня в настройки, а я соответственно сомневался - проблема в софте или в железе. Потому как если в железе, то при сбросе на заводские настройки пришлось бы или ремонтировать этот роутер, или при нынешних ценах покупать новый.

Но в итоге этот троян меня "достал" и я решился. У меня ASUS RT-N13. Сбросил я его, он включился после сброса, прошивка у меня стояла уже не оригинальная (с оригинальными асусовскими прошивками он у меня ни в какую не хотел соединяться с оператором Акадо, в итоге нашел какую-то кастомную прошивку от какого-то дядьки, сейчас уже не помню как его зовут, но он много разных прошивок для асуса настрогал). Так вот, я думал, что прошивка после сброса восстановиться оригинальная, ан нет, сохранилась моя кастомная.

Одним словом пока все идеально. Буду смотреть-следить несколько дней. Если снова вылезет вирус - отпишусь.

 

Еще раз благодарю всех за помощь.

С уважением, Юрий. 

 

[Dmitry_rus]

Думается мне, это ни разу не винлок в "классическом" его понимании. Ибо видим мы его лишь в браузере, судя по всему... Поэтому и антивирусы молчат - с их точки зрения, это обычная веб-страница.

[Petrovic]

Это Browlock

Ну а браузер закрывается через диспетчер задач 

 

Проверьте настройки DNS в роутере.

Сообщение было изменено Petrovic: 29 Ноябрь 2014 - 18:11