Перейти к содержимому


Фото
- - - - -

Крупное заражение


  • Please log in to reply
28 ответов в этой теме

#1 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 27 Апрель 2015 - 21:44

Здравствуйте!

Я заразился вирусами!Логи сейчас сделать не могу сижу с Live CD.Всё получилось так:

Я решил проверить sandboxie или песочницу, как она будет справляться с вирусами.Для этого я скачал архив 3732 вируса, запустил проводник через sandboxie, зашёл в папку и открыл один.Файлы начали лезть куда попало, но потом всё утихло и заругался очень сильно касперский, сами файлы в песочнице, боюсь, что до конца не обезвредил.Щас сделаю скрины.Доктор нашёл один вирус в хосте, пока всё тихо.HELP!

И могли я заразиться если вирусы были в песочнице?


Сообщение было изменено Doctor Antivirus: 27 Апрель 2015 - 21:45


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 27 Апрель 2015 - 21:44

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 27 Апрель 2015 - 21:48

Вот скрины:

Прикрепленные файлы:



#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 27 Апрель 2015 - 22:02

Дурная голова рукам покою не дает... Не знаете, о ком эта пословица? :) LiveCD, кстати, не означает отсутствия логов. Они ткам тоже есть, а вот скрины ваши тут ни к чему. Перезагружайте машину и делайте проверку + комплект логов по правилам.



#5 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Апрель 2015 - 22:02

то не вирус


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#6 brisyo

brisyo

    Advanced Member

  • Posters
  • 533 Сообщений:

Отправлено 27 Апрель 2015 - 22:05

Здравствуйте!

Я заразился вирусами!Логи сейчас сделать не могу сижу с Live CD.Всё получилось так:

Я решил проверить sandboxie или песочницу, как она будет справляться с вирусами.Для этого я скачал архив 3732 вируса, запустил проводник через sandboxie, зашёл в папку и открыл один.Файлы начали лезть куда попало, но потом всё утихло и заругался очень сильно касперский, сами файлы в песочнице, боюсь, что до конца не обезвредил.Щас сделаю скрины.Доктор нашёл один вирус в хосте, пока всё тихо.HELP!

И могли я заразиться если вирусы были в песочнице?

А какие у вас настройки sandboxie и версия ее? По умолчанию, песочница пропускает файлы в профиль пользователя. Пришлите ini файл настроек.

И на будущее: если хотите экспериментировать, то запускайте и браузер в песочнице (но при этом настроить надо ее)


Сообщение было изменено brisyo: 27 Апрель 2015 - 22:06


#7 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 27 Апрель 2015 - 22:08

то не вирус

Ложное срабатывание?


 

Здравствуйте!

Я заразился вирусами!Логи сейчас сделать не могу сижу с Live CD.Всё получилось так:

Я решил проверить sandboxie или песочницу, как она будет справляться с вирусами.Для этого я скачал архив 3732 вируса, запустил проводник через sandboxie, зашёл в папку и открыл один.Файлы начали лезть куда попало, но потом всё утихло и заругался очень сильно касперский, сами файлы в песочнице, боюсь, что до конца не обезвредил.Щас сделаю скрины.Доктор нашёл один вирус в хосте, пока всё тихо.HELP!

И могли я заразиться если вирусы были в песочнице?

А какие у вас настройки sandboxie и версия ее? По умолчанию, песочница пропускает файлы в профиль пользователя. Пришлите ini файл настроек.

И на будущее: если хотите экспериментировать, то запускайте и браузер в песочнице (но при этом настроить надо ее)

 

Спасибо сейчас попробую



#8 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 27 Апрель 2015 - 22:21

Логи:

Прикрепленные файлы:



#9 brisyo

brisyo

    Advanced Member

  • Posters
  • 533 Сообщений:

Отправлено 27 Апрель 2015 - 22:29

Где ini песочницы?

У вас что, активатор sandboxie???



#10 provayder

provayder

    Poster

  • Posters
  • 1 742 Сообщений:

Отправлено 27 Апрель 2015 - 22:51

для песочницы я себе ноут отдельно обустроил. без рисков. просто пытошная и экспериментальная станция



#11 brisyo

brisyo

    Advanced Member

  • Posters
  • 533 Сообщений:

Отправлено 27 Апрель 2015 - 22:58

Сдается мне, у ТС дело даже не в архиве с вирусами, а с minecraft все началось.... Тихо, мирно засела зараза.

Товарищи, ваше слово...



#12 provayder

provayder

    Poster

  • Posters
  • 1 742 Сообщений:

Отправлено 27 Апрель 2015 - 23:16

да майнкрафт вродь и не причем, но на ПК происходит тихий ужас Adguard, Kaspersky Lab, AutoLogger, AVZ от кого обороняетесь?



#13 ShadowHat

ShadowHat

    Member

  • Posters
  • 286 Сообщений:

Отправлено 27 Апрель 2015 - 23:53

Топикстартеру срочно необходима шапочка из фольги с фирменным логотипом.



#14 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 28 Апрель 2015 - 00:51

Логи:

Ничего плохого в логах. 


Глубина - глубина, я не твой отпусти меня, глубина


#15 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 28 Апрель 2015 - 07:09

Вот это настройки? Версия 4.16

Прикрепленные файлы:



#16 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 28 Апрель 2015 - 07:10

Ну наверное уже ничего плохого, А как настроить песочницу?

#17 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 28 Апрель 2015 - 07:14

Логи курейта:

Прикрепленные файлы:

  • Прикрепленный файл  cureit.rar   222,93К   1 Скачано раз


#18 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 28 Апрель 2015 - 07:50

А как настроить песочницу?

Вот этот вопрос (и эти действия) вы должны были произвести до того, как начать экспериментировать с вирусами. У нас же, как водится, пока жареный петух не клюнет... А так - все крЮтые спецы, прям не подходи... ;)

Судя по логам, у вас нет вирусов в профиле.


Сообщение было изменено Dmitry_rus: 28 Апрель 2015 - 07:53


#19 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 28 Апрель 2015 - 07:56

Да, похоже нет, но вот скрины сами посмотрите остались файлы COM:

 

Прикрепленные файлы:



#20 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 28 Апрель 2015 - 07:59

Они остались, слава богу, в Sandbox, а не в рабочем профиле, если мне зрение не изменяет. Почистите ручками. Это раз. И два - комовские файлы вряд ли корректно отработают в win32-среде. Смысл такого тестирования стремится к 0.


Сообщение было изменено Dmitry_rus: 28 Апрель 2015 - 08:00



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых