20 replies to this topic

[ilyav412]

Загрузил пару торрентов комп начал как будто слабее работать и сильнее греть, иногда захожу в приложение а там скролл бесконечный(решил проблему тем что отключил в диспетчере другие мыши но иногда и с отключенными скроллит), пару раз экран на милисекунду чернел. Куреит ничего не видит как и втроенный антивирь. Прошелся hijack ом, прикрепил лог

Edited by ilyav412, 08 October 2023 - 17:18.

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[AndreyKa]

Лога hijack нет. Да и не покажет он ничего полезного.

Завелись мыши? Купите кота.

[ilyav412]

есть варианты получше? говорите я вас слушаю

[Dolmatov]

есть варианты получше? говорите я вас слушаю

Предоставьте отчёт по сообщению от @Dr.Robot

 

Текущие симптомы вполне могут быть увеличенной нагрузкой какого-то приложения с "отвалом" видеокарты или подключением удалённого мониторинга. Однако, разные "болезни" имеют одинаковые и схожие симптомы. К тому же вы не указали, что скачивание торрент-файлов сопровождалось предварительным скачиванием торрент-клиента или его заменителя, либо последующим запуском скачанных файлов. Нахождение же уязвимости в "списке" торрент-файла для воздействия на различные торрент-клиенты звучит фантастично, а не реально.

Edited by Dolmatov, 08 October 2023 - 23:39.

[ilyav412]

это все? есть что то что я могу скинуть вам в виде логов, чтоб убедиться что ничего нет

[ilyav412]

сейчас выполню как написали

[ilyav412]

Лога hijack нет. Да и не покажет он ничего полезного.

Завелись мыши? Купите кота.

очень смешно на счет кота ))!!, скоро кину логи

[ilyav412]

как прикрепить>? пишет файл слишком велик

[Alexander007]

как прикрепить>? пишет файл слишком велик

 

Добрый вечер!  Через Яндекс залить или другой файлообменник.

Edited by Alexander007, 09 October 2023 - 00:16.

[ilyav412]

сейчас попробую

как прикрепить>? пишет файл слишком велик

 

Добрый вечер!  Через Яндекс залить или другой файлообменник.

 

[ilyav412]

https://disk.yandex.lt/d/4T7S3sSf6MKM9w

[Alexander007]

Для уточнение и полный лог :

Из сообщение Робота , нужно скачать именно эту логи :
https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe

Если Не запускается, переименуйте имени , чтобы запустить программу .


В реестре надо проверить ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer на предмет наличия там ключа DisallowRun. Если есть - снести. Это запрет на запуск всего, что в том ключе прописано. Так же проверить наличие ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts

+

Соберите дополнительно логи FRST.
https://forum.drweb.com/index.php?showtopic=337128&p=907894


Чтобы подробно узнать , что произошло и где заряжен . Вирусный аналитик подготовит вам лечение .

Edited by Alexander007, 09 October 2023 - 17:33.

[ilyav412]

он сформировал отчет , пишет что отчет в архиве, где это?

[Alexander007]

C:/Users/ где ваша учетный запись / DrWeb / и там должен быть архив , где лежит xxxx drweb . Zip/rar и выложить ..

[ilyav412]

выкладываю

[ilyav412]

https://disk.yandex.ru/d/gE-waMuIpra2Wg

[ilyav412]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

exlorer не было, во второй ветке нет \SpecialAccounts

[Ivan Korolev]

Alexander007, не надо пытаться лечить везде одного и того же трояна. Вас может удивить, но люди могут заражаться и чем-то другим. И уже тем более не надо просить пользователей вслепую что-то удалить в реестре.

 

 

ilyav412, ожидайте, смотрю отчет.

[Alexander007]

Alexander007, не надо пытаться лечить везде одного и того же трояна. Вас может удивить, но люди могут заражаться и чем-то другим. И уже тем более не надо просить пользователей вслепую что-то удалить в реестре.
ilyav412, ожидайте, смотрю отчет.

Хорошо, принял … Там может быть реестр блокирует сисинфо, курейты … майнер часто создают такие же реестры , чтобы сисинфо не создался .. Если что вы можете предлагать удалить реестра , но курейт не удаляет самостоятельно ( когда пользователь запустился , есть возможность добавить спец/обнаружение подозрительных самого реестра , который создан Майнер ? ) -чтобы не предлагал вручную , а сам утилита будет обнаруживать подозрительные реестры и предлагают лечить реестра ?.

Edited by Alexander007, 11 October 2023 - 11:14.