31 ответов в этой теме

[helpmesuperman]

Здравствуйте!
Где-то неделю назад внезапно отключился браузер(опера), после чего стартовой страницей стал browserhelp2.ru, многие сайты стали недоступны, либо перекидывали на гугл, либо загружались сайты с предложением обновить ПО, реклама всякая появлялась. Собственно прочистил CureIt'ом, все вроде как стало нормально, сайты стали нормально загружаться, стартовой остался browserhelp2.ru, причем иногда он менялся на speed2.ru. Потом прочищал CureIt'ом систему полностью - находились всякие Mayachki. Вот, ну поменял стартовую страницу на старую, все было нормально, при этом еще несколько раз включал CureIt, и он регулярно что-либо находил. Потом в какой-то момент опять произошло все то же самое(некоторые сайты не грузятся, перекидывает, реклама и т.д.).
А вообще собирался вам написать уже давно, потому что где-то месяц назад с компьютером вообще стал происходить какой-то ад: загружался минут по 10-15, при загрузке вылетало куча окон о завершении всяких разных процессов(как я понял в основном связанных с антивирусом, либо с подключением к сети), процессор дико грузился, при этом довольно сильно его грузил explorer.exe(при этом если его выключить и заново включить - становилось нормально). И вот после того, как поймал вирус с browserhelp2.ru, эта проблема вообще исчезла - все стало более или менее нормально загружаться. Да, при этом какое-то время назад перестал обновляться антивирус(SEP), а конкретно одна из его функций "защита от вирусов и программ-шпионов", приходилось обновлять его вручную, остальные же функции обновлялись сами.
Ну и последнее, проблема, которая меня уже давно мучает - постоянно куда-то пропадает место на системном диске(проблема в том, что диск у меня маленький и это довольно критично, т.е довольно часто место уходит в 0 байт, при том что чищу кэш браузера, временные файлы - не помогает, а вот после того, как закончились проблемы с загрузкой ну и одновременно появлением нового вируса высвободилось под половину гига) и опера бывает оч сильно грузит процессор и как-то оч много памяти жрет, даже когда открыто не так много вкладок (раньше по несколько десятков открывал - и все нормально было). Т.е. мне кажется дело тут тоже в какой-то засевшей гадости.
Вот, надеюсь, я тут не оч многого хочу и это сообщение вполне адекватно) Да, еще, можно поменьше сленга, а то тем же хайджеком например я пользовался впервые - буду тупить и переспрашивать) Все, спасибо!  логи.rar   115,6К   4 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[l.e.e.]

helpmesuperman, c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
c:\dvt.exe
C:\WINDOWS\system32\drivers\B52981799.sys
скопируйте и отправьте на virustotal.com , при запросе нажмите кнопку Reanalyse , ссылку на результат сюда (ссылка это адресная строка в браузере)

[helpmesuperman]

helpmesuperman, c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
c:\dvt.exe
C:\WINDOWS\system32\drivers\B52981799.sys
скопируйте и отправьте на virustotal.com , при запросе нажмите кнопку Reanalyse , ссылку на результат сюда (ссылка это адресная строка в браузере)

1.https://www.virustotal.com/file/b398c3c9bc87be6c8f900a2f292b696f5528fffd30fb550fc57051c13ea174be/analysis/1351796819/
2.https://www.virustotal.com/file/78eecf1c0a9a6b157abebedb53f9c91a4310c622626e1009c82ec762027b016c/analysis/1351797014/
3.https://www.virustotal.com/file/b5a03923e793f7c4797ebfff62efcbbe95cd1b2fed6c778f3bc111c1747453db/analysis/1351797139/
4.https://www.virustotal.com/file/707f44bba677f291f3c8bb7ee901ca09b34fb1e624589e1b56d10aac326688a8/analysis/1351797253/

[l.e.e.]

c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
Эти файлы, по одному сохраните в архив с паролем virus и отправьте https://vms.drweb.com/sendvirus/?lng=ru как вирус не определяемый Доктор Веб, пожалуйста.
Можете воспользоваться утилитой их определяющей http://support.kaspersky.ru/6181

Сообщение было изменено lazarev.ee: 01 Ноябрь 2012 - 22:30

[helpmesuperman]

c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
Эти файлы, по одному сохраните в архив с паролем virus и отправьте https://vms.drweb.com/sendvirus/?lng=ru как вирус не определяемый Доктор Веб, пожалуйста.
Можете воспользоваться утилитой их определяющей http://support.kaspersky.ru/6181

Второй файл отправил, а первый что-то так и не получилось найти.
Поиском не находится, в папке его не видно(скрытые файлы и папки включены). Утилита при распаковке файлов обрывается, предлагает перезагрузить комп - перезагрузил - то же самое.
Я так понимаю надо вот это http://wiki.drweb.com/index.php/Скрытые_процессы почитать?
Да, еще, раз тут фигурирует папка автозагрузка) Забыл сказать, что при загрузке компьютера всегда вылетает вот такая штука(довольно давно уже)

Прикрепленные файлы:

•  123.JPG   28,89К   1 Скачано раз

[l.e.e.]

Утилита при распаковке файлов обрывается, предлагает перезагрузить комп - перезагрузил - то же самое.

Больше не пробуйте.

Второй файл отправил, а первый что-то так и не получилось найти.

А как же вы нам ссылку дали ?

Я так понимаю надо вот это http://wiki.drweb.com/index.php/Скрытые_процессы почитать?

Почитайте, посмотрите...(уже устарело)
1. HijackThis - Scan - отметить строки и -> Fix Checked
O4 - Startup: chkntfs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru
2. Скачать и запустить plstfix.exe
3. Логи HijackThis и Gmer.

Сообщение было изменено lazarev.ee: 02 Ноябрь 2012 - 07:32

[helpmesuperman]

А как же вы нам ссылку дали ?

Собственно на вирустотале вбил путь - он нашелся/вставился. В поиске не находился.

Вообще вчера ночью вроде получилось как раз с помощью gmer найти этот файл. Отослал - сегодня пришел ответ. Я так понимаю (если это вообще нужно)), вот это стоит вам сообщить:
[drweb.com #3672935]
Угроза: Trojan.Carberp.789
По первой же ссылке ([drweb.com #3672745]) ничего не приходило.

После запуска plstfix.exe комп перезагрузился, и при открытии браузера опять открылась страничка speed2.ru.

В логах там "hijackthis0" это лог во время выполнения первого пункта.

Прикрепленные файлы:

•  логи.rar   12,62К   3 Скачано раз

[l.e.e.]

helpmesuperman,
C:\Documents and Settings\Игорь\Application Data\lsass.exe - проверить и дать ссылку
затем пофиксить в HiJackThis
O4 - HKCU\..\Run: [Taskhost] C:\Documents and Settings\Игорь\Application Data\lsass.exe

[Grigory Lisin]

>>>По первой же ссылке ([drweb.com #3672745]) ничего не приходило.

Это Trojan.Hosts.6294

[helpmesuperman]

>>>По первой же ссылке ([drweb.com #3672745]) ничего не приходило.
Это Trojan.Hosts.6294

В самом деле

C:\Documents and Settings\Игорь\Application Data\lsass.exe - проверить и дать ссылку
затем пофиксить в HiJackThis
O4 - HKCU\..\Run: [Taskhost] C:\Documents and Settings\Игорь\Application Data\lsass.exe

Вот этот файл никак не смог найти(ни вирустотал его не нашел, ни с помощью gmer). Но в hijackthis такая запись есть.

Да, а собственно с этими файлами, которые я отсылал, что делать-то?) Удалить? Или просто cureit запустить теперь?

И еще. Когда у меня в очередной раз загрузился browserhelp2.ru(накануне того, как я вам написал) и перестали загружаться некоторые странички, я зашел проверить hosts. Там оказался подмененный hosts, а настоящий был скрыт (причем в нем все чисто было). В итоге я просто удалил тот файл. На днях же нашел вот эту папку (как я понял это она во всем виновата )
 !!!!!!!!!!.JPG   121,16К   10 Скачано раз
Просто можно ее удалить и ничего больше не делать? Но вообще, как я понял, она как раз связана с этим файлом C:\Documents and Settings\Игорь\Application Data\198.exe

Сообщение было изменено helpmesuperman: 05 Ноябрь 2012 - 23:18

[l.e.e.]

Да, а собственно с этими файлами, которые я отсылал, что делать-то?) Удалить? Или просто cureit запустить теперь?

Да, Курейт запустить свежий, он бы и hosts исправил. Эту папку удалите, если не определится. И опишите состояние системы.

[helpmesuperman]

Сегодня опять когда включал Оперу открылась speed2.ru, не загружались многие сайты.
Запустил cureit, нашел вот такое:
Trojan.MayachokMEM.5
BackDoor.Butirat.201
Причем по-моему они каждый раз снова появляются. Т.е такое уже точно находил. Потом все стало опять нормально.
Еще в C:\Documents and Settings\Игорь\Application Data\ появился файл txt.exe, на который cureit не реагирует:
https://www.virustotal.com/file/776f419ea73bdcc8fec26662d20635f5c4580860b5da7cd2e5e00edbefa4f48e/analysis/1352211673/
Я так понимаю, надо послать к вам?

[sergeyko]

Я так понимаю, надо послать к вам?

Да, обязательно!

[AndreyKa]

Запустил cureit, нашел вот такое:
Trojan.MayachokMEM.5
BackDoor.Butirat.201
Причем по-моему они каждый раз снова появляются. Т.е такое уже точно находил. Потом все стало опять нормально.

Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kad

[l.e.e.]

Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kad
Ответить
Цитата

Ну, автоматическое обновление никто не отменял. А вы для ДрВеб скриптик написать можете ? (шутка )
helpmesuperman, Дайте логи, если нужна помощь - мы же не видим, что у вас на ПК. Лог выборочной проверки Курейт бета.
Или тотальную зачистку - временных папок, отключите в корзине, точки восстановления - выключить включить. Кеши в браузерах почистить.

Сообщение было изменено lazarev.ee: 06 Ноябрь 2012 - 19:23

[l.e.e.]

Угроза: Trojan.Carberp.789

После этого надо и сохранённые в браузерах пароли очистить и поменять (на всякий..)

Сообщение было изменено lazarev.ee: 06 Ноябрь 2012 - 19:30

[helpmesuperman]

Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kad

Понятно, спасибо)

Еще в C:\Documents and Settings\Игорь\Application Data\ появился файл txt.exe, на который cureit не реагирует:
https://www.virustotal.com/file/776f419ea73bdcc8fec26662d20635f5c4580860b5da7cd2e5e00edbefa4f48e/analysis/1352211673/
Я так понимаю, надо послать к вам?

Послал - пришел ответ, что уже есть в базе (причем я 2 раза проверял на вирустотале, там др.веб не находил, после того как пришел ответ - проверил еще раз - др.веб уже знал что это, а именно Trojan.Mayachok.18024). При этом последний на тот момент cureit никак не реагировал на этот файл. Дождаться обновления или просто удалить этот файл?

helpmesuperman, Дайте логи, если нужна помощь - мы же не видим, что у вас на ПК. Лог выборочной проверки Курейт бета.
Или тотальную зачистку - временных папок, отключите в корзине, точки восстановления - выключить включить. Кеши в браузерах почистить.

Ну я ж говорю, я не очень в теме что делать и вообще) Курейт бета это оно: http://www.freedrweb.com/download+cureit+free/beta/ ?
Выборочная проверка всмысле там будет такая опция или чего-то конкретного?

[l.e.e.]

Ну я ж говорю, я не очень в теме что делать и вообще) Курейт бета это оно: http://www.freedrweb.com/download+cureit+free/beta/ ?
Выборочная проверка всмысле там будет такая опция или чего-то конкретного?

Оно, там нужно вручную проставить галочки все. Чуть дольше, чем просто нажать на первом окне кнопку - это и нужно. C:\WINDOWS\system32\hgsroil.dll - ещё маячок По логу поищем, может еще найдём.

[helpmesuperman]

Лог выборочной проверки Курейт бета.

Прикрепленные файлы:

•  cureit.log   426,9К   6 Скачано раз