browserhelp2.ru/speed2.ru
#1
Отправлено 01 Ноябрь 2012 - 21:11
Где-то неделю назад внезапно отключился браузер(опера), после чего стартовой страницей стал browserhelp2.ru, многие сайты стали недоступны, либо перекидывали на гугл, либо загружались сайты с предложением обновить ПО, реклама всякая появлялась. Собственно прочистил CureIt'ом, все вроде как стало нормально, сайты стали нормально загружаться, стартовой остался browserhelp2.ru, причем иногда он менялся на speed2.ru. Потом прочищал CureIt'ом систему полностью - находились всякие Mayachki. Вот, ну поменял стартовую страницу на старую, все было нормально, при этом еще несколько раз включал CureIt, и он регулярно что-либо находил. Потом в какой-то момент опять произошло все то же самое(некоторые сайты не грузятся, перекидывает, реклама и т.д.).
А вообще собирался вам написать уже давно, потому что где-то месяц назад с компьютером вообще стал происходить какой-то ад: загружался минут по 10-15, при загрузке вылетало куча окон о завершении всяких разных процессов(как я понял в основном связанных с антивирусом, либо с подключением к сети), процессор дико грузился, при этом довольно сильно его грузил explorer.exe(при этом если его выключить и заново включить - становилось нормально). И вот после того, как поймал вирус с browserhelp2.ru, эта проблема вообще исчезла - все стало более или менее нормально загружаться. Да, при этом какое-то время назад перестал обновляться антивирус(SEP), а конкретно одна из его функций "защита от вирусов и программ-шпионов", приходилось обновлять его вручную, остальные же функции обновлялись сами.
Ну и последнее, проблема, которая меня уже давно мучает - постоянно куда-то пропадает место на системном диске(проблема в том, что диск у меня маленький и это довольно критично, т.е довольно часто место уходит в 0 байт, при том что чищу кэш браузера, временные файлы - не помогает, а вот после того, как закончились проблемы с загрузкой ну и одновременно появлением нового вируса высвободилось под половину гига) и опера бывает оч сильно грузит процессор и как-то оч много памяти жрет, даже когда открыто не так много вкладок (раньше по несколько десятков открывал - и все нормально было). Т.е. мне кажется дело тут тоже в какой-то засевшей гадости.
Вот, надеюсь, я тут не оч многого хочу и это сообщение вполне адекватно) Да, еще, можно поменьше сленга, а то тем же хайджеком например я пользовался впервые - буду тупить и переспрашивать) Все, спасибо! логи.rar 115,6К 4 Скачано раз
#2
Отправлено 01 Ноябрь 2012 - 21:11
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
Отправлено 01 Ноябрь 2012 - 21:54
C:\Documents and Settings\Игорь\Application Data\198.exe
c:\dvt.exe
C:\WINDOWS\system32\drivers\B52981799.sys
скопируйте и отправьте на virustotal.com , при запросе нажмите кнопку Reanalyse , ссылку на результат сюда (ссылка это адресная строка в браузере)
#4
Отправлено 01 Ноябрь 2012 - 22:15
helpmesuperman, c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
c:\dvt.exe
C:\WINDOWS\system32\drivers\B52981799.sys
скопируйте и отправьте на virustotal.com , при запросе нажмите кнопку Reanalyse , ссылку на результат сюда (ссылка это адресная строка в браузере)
1.https://www.virustotal.com/file/b398c3c9bc87be6c8f900a2f292b696f5528fffd30fb550fc57051c13ea174be/analysis/1351796819/
2.https://www.virustotal.com/file/78eecf1c0a9a6b157abebedb53f9c91a4310c622626e1009c82ec762027b016c/analysis/1351797014/
3.https://www.virustotal.com/file/b5a03923e793f7c4797ebfff62efcbbe95cd1b2fed6c778f3bc111c1747453db/analysis/1351797139/
4.https://www.virustotal.com/file/707f44bba677f291f3c8bb7ee901ca09b34fb1e624589e1b56d10aac326688a8/analysis/1351797253/
#5
Отправлено 01 Ноябрь 2012 - 22:26
C:\Documents and Settings\Игорь\Application Data\198.exe
Эти файлы, по одному сохраните в архив с паролем virus и отправьте https://vms.drweb.com/sendvirus/?lng=ru как вирус не определяемый Доктор Веб, пожалуйста.
Можете воспользоваться утилитой их определяющей http://support.kaspersky.ru/6181
Сообщение было изменено lazarev.ee: 01 Ноябрь 2012 - 22:30
#6
Отправлено 01 Ноябрь 2012 - 23:36
c:\documents and settings\игорь\главное меню\программы\автозагрузка\gv1ovfwji3i.exe
C:\Documents and Settings\Игорь\Application Data\198.exe
Эти файлы, по одному сохраните в архив с паролем virus и отправьте https://vms.drweb.com/sendvirus/?lng=ru как вирус не определяемый Доктор Веб, пожалуйста.
Можете воспользоваться утилитой их определяющей http://support.kaspersky.ru/6181
Второй файл отправил, а первый что-то так и не получилось найти.
Поиском не находится, в папке его не видно(скрытые файлы и папки включены). Утилита при распаковке файлов обрывается, предлагает перезагрузить комп - перезагрузил - то же самое.
Я так понимаю надо вот это http://wiki.drweb.com/index.php/Скрытые_процессы почитать?
Да, еще, раз тут фигурирует папка автозагрузка) Забыл сказать, что при загрузке компьютера всегда вылетает вот такая штука(довольно давно уже)
Прикрепленные файлы:
#7
Отправлено 02 Ноябрь 2012 - 07:27
Больше не пробуйте.Утилита при распаковке файлов обрывается, предлагает перезагрузить комп - перезагрузил - то же самое.
А как же вы нам ссылку дали ?Второй файл отправил, а первый что-то так и не получилось найти.
Почитайте, посмотрите...(уже устарело)Я так понимаю надо вот это http://wiki.drweb.com/index.php/Скрытые_процессы почитать?
1. HijackThis - Scan - отметить строки и -> Fix Checked
O4 - Startup: chkntfs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru
2. Скачать и запустить plstfix.exe
3. Логи HijackThis и Gmer.
Сообщение было изменено lazarev.ee: 02 Ноябрь 2012 - 07:32
#8
Отправлено 02 Ноябрь 2012 - 19:48
Собственно на вирустотале вбил путь - он нашелся/вставился. В поиске не находился.А как же вы нам ссылку дали ?
Вообще вчера ночью вроде получилось как раз с помощью gmer найти этот файл. Отослал - сегодня пришел ответ. Я так понимаю (если это вообще нужно)), вот это стоит вам сообщить:
[drweb.com #3672935]
Угроза: Trojan.Carberp.789
По первой же ссылке ([drweb.com #3672745]) ничего не приходило.
После запуска plstfix.exe комп перезагрузился, и при открытии браузера опять открылась страничка speed2.ru.
В логах там "hijackthis0" это лог во время выполнения первого пункта.
Прикрепленные файлы:
#10
Отправлено 02 Ноябрь 2012 - 20:22
>>>По первой же ссылке ([drweb.com #3672745]) ничего не приходило.
Это Trojan.Hosts.6294
#11
Отправлено 05 Ноябрь 2012 - 23:17
В самом деле>>>По первой же ссылке ([drweb.com #3672745]) ничего не приходило.
Это Trojan.Hosts.6294
Вот этот файл никак не смог найти(ни вирустотал его не нашел, ни с помощью gmer). Но в hijackthis такая запись есть.C:\Documents and Settings\Игорь\Application Data\lsass.exe - проверить и дать ссылку
затем пофиксить в HiJackThis
O4 - HKCU\..\Run: [Taskhost] C:\Documents and Settings\Игорь\Application Data\lsass.exe
Да, а собственно с этими файлами, которые я отсылал, что делать-то?) Удалить? Или просто cureit запустить теперь?
И еще. Когда у меня в очередной раз загрузился browserhelp2.ru(накануне того, как я вам написал) и перестали загружаться некоторые странички, я зашел проверить hosts. Там оказался подмененный hosts, а настоящий был скрыт (причем в нем все чисто было). В итоге я просто удалил тот файл. На днях же нашел вот эту папку (как я понял это она во всем виновата )
!!!!!!!!!!.JPG 121,16К 10 Скачано раз
Просто можно ее удалить и ничего больше не делать? Но вообще, как я понял, она как раз связана с этим файлом C:\Documents and Settings\Игорь\Application Data\198.exe
Сообщение было изменено helpmesuperman: 05 Ноябрь 2012 - 23:18
#12
Отправлено 05 Ноябрь 2012 - 23:32
Да, Курейт запустить свежий, он бы и hosts исправил. Эту папку удалите, если не определится. И опишите состояние системы.Да, а собственно с этими файлами, которые я отсылал, что делать-то?) Удалить? Или просто cureit запустить теперь?
#13
Отправлено 06 Ноябрь 2012 - 17:34
Запустил cureit, нашел вот такое:
Trojan.MayachokMEM.5
BackDoor.Butirat.201
Причем по-моему они каждый раз снова появляются. Т.е такое уже точно находил. Потом все стало опять нормально.
Еще в C:\Documents and Settings\Игорь\Application Data\ появился файл txt.exe, на который cureit не реагирует:
https://www.virustotal.com/file/776f419ea73bdcc8fec26662d20635f5c4580860b5da7cd2e5e00edbefa4f48e/analysis/1352211673/
Я так понимаю, надо послать к вам?
#14
Отправлено 06 Ноябрь 2012 - 17:36
Да, обязательно!Я так понимаю, надо послать к вам?
R&D www.drweb.com
#15
Отправлено 06 Ноябрь 2012 - 19:01
Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kadЗапустил cureit, нашел вот такое:
Trojan.MayachokMEM.5
BackDoor.Butirat.201
Причем по-моему они каждый раз снова появляются. Т.е такое уже точно находил. Потом все стало опять нормально.
#16
Отправлено 06 Ноябрь 2012 - 19:22
Ну, автоматическое обновление никто не отменял. А вы для ДрВеб скриптик написать можете ? (шутка )Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kad
Ответить
Цитата
helpmesuperman, Дайте логи, если нужна помощь - мы же не видим, что у вас на ПК. Лог выборочной проверки Курейт бета.
Или тотальную зачистку - временных папок, отключите в корзине, точки восстановления - выключить включить. Кеши в браузерах почистить.
Сообщение было изменено lazarev.ee: 06 Ноябрь 2012 - 19:23
#17
Отправлено 06 Ноябрь 2012 - 19:29
После этого надо и сохранённые в браузерах пароли очистить и поменять (на всякий..)
Сообщение было изменено lazarev.ee: 06 Ноябрь 2012 - 19:30
#18
Отправлено 06 Ноябрь 2012 - 21:45
Они появляются по тому, что на компьютере установлен Adobe Acrobat 7.0 или по тому, что есть Sun Java 6 Update 22. Основной список ПО через которое вредоносные программы проникают на компьютер можно посмотреть тут: http://df.ru/~kad
Понятно, спасибо)
Еще в C:\Documents and Settings\Игорь\Application Data\ появился файл txt.exe, на который cureit не реагирует:
https://www.virustotal.com/file/776f419ea73bdcc8fec26662d20635f5c4580860b5da7cd2e5e00edbefa4f48e/analysis/1352211673/
Я так понимаю, надо послать к вам?
Послал - пришел ответ, что уже есть в базе (причем я 2 раза проверял на вирустотале, там др.веб не находил, после того как пришел ответ - проверил еще раз - др.веб уже знал что это, а именно Trojan.Mayachok.18024). При этом последний на тот момент cureit никак не реагировал на этот файл. Дождаться обновления или просто удалить этот файл?
helpmesuperman, Дайте логи, если нужна помощь - мы же не видим, что у вас на ПК. Лог выборочной проверки Курейт бета.
Или тотальную зачистку - временных папок, отключите в корзине, точки восстановления - выключить включить. Кеши в браузерах почистить.
Ну я ж говорю, я не очень в теме что делать и вообще) Курейт бета это оно: http://www.freedrweb.com/download+cureit+free/beta/ ?
Выборочная проверка всмысле там будет такая опция или чего-то конкретного?
#19
Отправлено 06 Ноябрь 2012 - 22:01
Оно, там нужно вручную проставить галочки все. Чуть дольше, чем просто нажать на первом окне кнопку - это и нужно. C:\WINDOWS\system32\hgsroil.dll - ещё маячок По логу поищем, может еще найдём.Ну я ж говорю, я не очень в теме что делать и вообще) Курейт бета это оно: http://www.freedrweb.com/download+cureit+free/beta/ ?
Выборочная проверка всмысле там будет такая опция или чего-то конкретного?
#20
Отправлено 06 Ноябрь 2012 - 23:52
Лог выборочной проверки Курейт бета.
Прикрепленные файлы:
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых