22 Antworten zu diesem Thema

[NoCreep]

Проблема такова, обнаружены 2 угрозы типа NET:MALWARE.URL. Один раз открывался сайт retagro.com и autoteka.ru. Логи приложу, второй раз проверяю, остались угрозы. При попытке лечения выходит ошибка. Из расширений в Опере всё, что на скриншоте. Логи CureIt https://disk.yandex.ru/d/YkVeQPZXsUD7pQ  и dwsysinfo  https://disk.yandex.ru/d/joqROMbF31tnDw    приложил ссылками.

 трабл2.png   26,67K   1 Anzahl Downloads

 трабл.png   14,36K   1 Anzahl Downloads

В карантин угрозы не помещаются, подскажите что делать.

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Добрый день, хочу узнать по поводу этой зараженые файлы. Пришлите их на VirusTotal -на проверку , прикрепите две ссылки на VT  .  Интересно ли она ложный срабатывание или нет.

\Net\15944\TCP\168.119.227.150-80\Device\HarddiskVolume5\Program Files (x86)\Microsoft\Edge\Application\msedge.exe 


\Net\13672\TCP\185.159.81.134-80\Device\HarddiskVolume5\Users\Frogger\AppData\Local\Programs\Opera GX\opera.exe

Bearbeitet von Alexander007, 07 M�rz 2023 - 21:41,

[Dmitry_rus]

По обеим ссылкам - cureit.log. Логов dwsysinfo нет.

[NoCreep]

https://disk.yandex.ru/d/joqROMbF31tnDw

[Dmitry_rus]

Alexander007, чего проверять? Экзешники Edge и Оперы? 99.9%, что всё нормально с ними, смысла нет в проверке. Видно, что ломятся по малварному IP. А почему ломятся - надо выяснять. Расширение какое-то, скорее всего.

[NoCreep]

 

Добрый день, хочу узнать по поводу этой зараженые файлы. Пришлите их на VirusTotal -на проверку , прикрепите две ссылки на VT  .  Интересно ли она ложный срабатывание или нет.

\Net\15944\TCP\168.119.227.150-80\Device\HarddiskVolume5\Program Files (x86)\Microsoft\Edge\Application\msedge.exe 


\Net\13672\TCP\185.159.81.134-80\Device\HarddiskVolume5\Users\Frogger\AppData\Local\Programs\Opera GX\opera.exe

я немного не понимаю что за ссылка \Net\13672\TCP\185.159.81.134-80\Device\HarddiskVolume5 но по адресу C:\Users\Frogger\AppData\Local\Programs\Opera GX и EDGE всё нормально

Alexander007, чего проверять? Экзешники Edge и Оперы? 99.9%, что всё нормально с ними, смысла нет в проверке. Видно, что ломятся по малварному IP. А почему ломятся - надо выяснять. Расширение какое-то, скорее всего.

я починил ссылку, я немного с форматированием ошибся

Bearbeitet von NoCreep, 07 M�rz 2023 - 21:57,

[NoCreep]

В последнее время я установил 2 расширения: Для увеличения громкости в браузере и Проверка орфографии во всех окнах ввода. Названия всех расширений скинул в начале поста

Bearbeitet von NoCreep, 07 M�rz 2023 - 21:58,

[Dmitry_rus]

ссылка \Net\13672\TCP\185.159.81.134-80

Это IP-адрес и порт (80), по которому браузеры пытаются установить соединение. IP-адрес внесен в базы антивируса как неблагонадежный, являющийся распространителем вирусов. А почему браузеры стали по нему обращаться - надо выяснять. Возможно, из-за расширений. Вспоминайте, что именно делали в ближайшее время.

[Alexander007]

Alexander007, чего проверять? Экзешники Edge и Оперы? 99.9%, что всё нормально с ними, смысла нет в проверке. Видно, что ломятся по малварному IP. А почему ломятся - надо выяснять. Расширение какое-то, скорее всего.

 

Ясно.  Подумал , что в edge.exe , opera.exe - может быть встроен  LNK - захватывает компьютер, собирает личные данные или пытается манипулировать компьютером . Можно сказать распространение. 

Bearbeitet von Alexander007, 07 M�rz 2023 - 22:02,

[NoCreep]

 

ссылка \Net\13672\TCP\185.159.81.134-80

Это IP-адрес и порт (80), по которому браузеры пытаются установить соединение. IP-адрес внесен в базы антивируса как неблагонадежный, являющийся распространителем вирусов. А почему браузеры стали по нему обращаться - надо выяснять. Возможно, из-за расширений. Вспоминайте, что именно делали в ближайшее время.

 

2 расширения, упомянутых выше. Так же пару игр из стима. Пара мелких инди игр, которые заранее были проверены антивирусником.

[Dmitry_rus]

Нахватались... Ваш случай?
https://forum.drweb.com/index.php?showtopic=336589

[NoCreep]

Нахватались... Ваш случай?
https://forum.drweb.com/index.php?showtopic=336589

я не переустанавливал винду недавно, только летом. Отхватил похоже только в этом месяце. попытаюсь проверить расширения

[Dmitry_rus]

Что их проверять... Судя по логу, они у вас есть. ))

hggkhdmikfklajnaomkanbbodmfdhlko

bgnodfikjoihkcjjnefbjkeclamhipak

[NoCreep]

Что их проверять... Судя по логу, они у вас есть. ))

hggkhdmikfklajnaomkanbbodmfdhlko

bgnodfikjoihkcjjnefbjkeclamhipak

а именно? Что делать то мне?

[Dmitry_rus]

Удалять. Синхронизацию проверить. Всё написано в той теме.

Bearbeitet von Dmitry_rus, 07 M�rz 2023 - 22:24,

[Dmitry_rus]

Hola VPN - "This extension has been turned off as it's been marked unsafe by the Chrome Web Store"

The Hola VPN extension was disabled and removed from chrome web store under the pretense of containing malware. I scanned all extension files (in C:\Users\[login_name]\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio

[NoCreep]

 

Hola VPN - "This extension has been turned off as it's been marked unsafe by the Chrome Web Store"

The Hola VPN extension was disabled and removed from chrome web store under the pretense of containing malware. I scanned all extension files (in C:\Users\[login_name]\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio

 

я его уже давно вырубал, удалил сейчас, в edge нашёл winsafe и тд, сейчас прогоню ещё на malwarebytes и отвечу

[NoCreep]

так, ну это всё помогло, нашёл плюсом пару несерьёзных проблем. А так да, откуда вообще в Edge такие странные расширения? Спасибо за помощь

[Dmitry_rus]

Что значит - откуда? ) Сами поставили, скорее всего. Или вы про названия файлов/каталогов? Ну они у большинства расширений такие "странные".