21 ответов в этой теме

[Lesnichok]

Здравствуйте! скачала вот с этого сайта (только не скачивайте оттуда ничего)) http://oopsifta.valgallardo.com/2727318/ab71/9edfcc1224b8f26d18339120a54a9000

и открыла архив, нажала, установила какую-то штуку...неизвестно почему я так сделала, была уверена, что вирус..Теперь не работают браузеры, перекидывают на mvd, просят номер телефона и прислать код. Прилагаю ссылку на отчёты и логи. dropmefiles.com/EI5Xs 

 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Lesnichok]

поправка: перекидывают на сайт mvd.ru, там написано "Доступ в сеть интернет заблокирован" и для разблокировки просят номер телефона и код

[Полимер]

Этот проверить на virustotal.com, ссылку на результат сюда:

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe

Пофиксить в HJ:
O4 - HKLM\..\Run: [Dorm] C:\Program Files (x86)\House\Dorm\crypts.exeC:\Program Files (x86)\House\Dorm\crypts.exe

 

[Полимер]

Что это за адрес в 1 ДНС? Вы сами ставили?

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

[Lesnichok]

Вирустотал: https://www.virustotal.com/ru/url/c341e5f5907c32b941b8f8dad71bdda1141d7a881dfc1caffe9a8fc6d3fc8c3d/analysis/

Что это за адрес в 1 ДНС? Вы сами ставили?

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

я ничего сама не ставила

[Lesnichok]

Этот проверить на virustotal.com, ссылку на результат сюда:

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe

Пофиксить в HJ:
O4 - HKLM\..\Run: [Dorm] C:\Program Files (x86)\House\Dorm\crypts.exeC:\Program Files (x86)\House\Dorm\crypts.exe

пофиксила

[Lesnichok]

Этот проверить на virustotal.com, ссылку на результат сюда:

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe

Пофиксить в HJ:
O4 - HKLM\..\Run: [Dorm] C:\Program Files (x86)\House\Dorm\crypts.exeC:\Program Files (x86)\House\Dorm\crypts.exe

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe тоже пофиксить?

[Lesnichok]

 

Этот проверить на virustotal.com, ссылку на результат сюда:

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe

Пофиксить в HJ:
O4 - HKLM\..\Run: [Dorm] C:\Program Files (x86)\House\Dorm\crypts.exeC:\Program Files (x86)\House\Dorm\crypts.exe

O4 - HKLM\..\Run: [autodetect] C:\Windows\SysWOW64\SupportAppXL\AutoDect.exeC:\Windows\SysWOW64\SupportAppXL\AutoDect.exe тоже пофиксить?

 

а...поняла, этот файл надо было на вирустотал проверить. А я же не могу, у меня не работают браузеры...пишу с другого компьютера. Его можно на флешку перекинуть и проверить?

[Lesnichok]

Проверила файл, скопировав на флешку и с другого компьютера

вот результат: https://www.virustotal.com/ru/file/87ee42a61f95b3aebcbe624a098082eb18477e137799460691046692a59dca6b/analysis/

[Aleksandra]

Его можно было и не проверять. Пофиксите только:

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

 

и сделайте повторный лог HijackThis.

[Lesnichok]

 Безымянный.png   880,97К   0 Скачано раз

Его можно было и не проверять. Пофиксите только:

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

 

и сделайте повторный лог HijackThis.

теперь при сканировании в Хайджек появляется вот это

[Lesnichok]

Его можно было и не проверять. Пофиксите только:

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

 

и сделайте повторный лог HijackThis.

но я всё равно пофиксила и сделала лог, вот ссылка на него, прикрепить к сообщению напрямую не могу, ошибку выдаёт

http://dropmefiles.com/kAzL1

[Полимер]

но я всё равно пофиксила

Нет.

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

[Lesnichok]

 

но я всё равно пофиксила

Нет.

O17 - HKLM\System\CCS\Services\Tcpip\..\{94908BB5-ACE0-43F8-B68B-1F03F00AC5F3}: NameServer = 191.101.14.113,8.8.4.4

 

а то что на скане, никак не влияет?может поэтому не вышло ничего?

[Полимер]

а то что на скане, никак не влияет?

Нет. Это доктор защищает hosts.

[Lesnichok]

 

а то что на скане, никак не влияет?

Нет. Это доктор защищает hosts.

 

а его не должно быть в новом логе после того, как пофиксила?он остаётся всё равно

[Полимер]

а его не должно быть в новом логе после того, как пофиксила?он остаётся всё равно

Кто? Предупреждение о hosts или строка с ДНС?

[Lesnichok]

 

а его не должно быть в новом логе после того, как пофиксила?он остаётся всё равно

Кто? Предупреждение о hosts или строка с ДНС?

 

строка с ДНС

[Полимер]

строка с ДНС

Зайдите в центр управления сетями, подключение по локальной сети, свойства, протокол интернета ип4, свойства и поставьте вместо 1 ДНС - 8.8.8.8