Перейти к содержимому


Фото
- - - - -

Trojan.Downloader.23.39271


  • Закрыто Тема закрыта
22 ответов в этой теме

#1 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 13 Июнь 2019 - 23:27

Стоит Dr.Web 11.0 со всеми обновлениями баз, система Windows 7

 

Нашлось:

 

Trojan.Downloader.23.39271

Trojan.Downloader.25.6485

Trojan.RWS.Panda.8062

DPH:Trojan.ExecExploit

Tool.BtcMine.1760

 

Dr.Web их находит блокирует - но не удаляет из системы, они опять лезут. Как это все удалить ПОЛНОСТЬЮ?

 

Файлы 86.exe c64.exe iexplorer.exe создаются все время в каталоге Windows.



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 13 Июнь 2019 - 23:27

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 13 Июнь 2019 - 23:54

Пальцем в небо: а обновления на Windows все установлены?
Почтовый сервер Eserv тоже работает с Dr.Web

#4 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 14 Июнь 2019 - 00:01

Пальцем в небо: а обновления на Windows все установлены?

 

Нет конечно. Это даже без логов понятно.

 

XLXL, обновляйте систему, делайте логи по правилам.


Сообщение было изменено RomaNNN: 14 Июнь 2019 - 00:01

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Июнь 2019 - 00:47

Сейчас попробую сделать логи по правилам.



#6 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 26 Июнь 2019 - 23:42

проблема таки не решена хоть кое-что сделать удалось.  Dr.Web 11.0 со всеми обновлениями баз более вирусов на компьютере не находит - но - это потому что я заблокировал на выход в интернет lsass.exe в фаерволе - именно она лезла в инет и загружала с удаленного сервера бинарники 86.exe c64.exe iexplorer.exe я это увидел прямо в процессе во встроенном в Dr.Web фаерволе. Однако сам скрипт загрузчик в системе где-то остался - его нужно как-то найти и удалить.

 

Да еще - стали запускаться какие-то процессы по 4 штуки NTVDM жрали 100% ресурсов CPU - я их сначала руками прибивал в Диспетчере задач, а потом просто отключил NTVDM в реестре. У меня нет 16 bit приложений и мне он не нужен.



#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 27 Июнь 2019 - 00:11

XLXL, а где же логи? Вы хоть "билет лотерейный купите", как в старом анекдоте.



#8 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 27 Июнь 2019 - 10:52

XLXL, нужно не последствия устранять, а причину. обновляйте систему, иначе будете по кругу ходить, после чего отчёт вот этой тулой сделайте и сюда прикрепите или на файлообменник с ссылкой на него.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#9 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 27 Июнь 2019 - 12:30

XLXL, нужно не последствия устранять, а причину. обновляйте систему, иначе будете по кругу ходить, после чего отчёт вот этой тулой сделайте и сюда прикрепите или на файлообменник с ссылкой на него.

 

вот отчет

 

 


Сообщение было изменено XLXL: 27 Июнь 2019 - 12:35


#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 27 Июнь 2019 - 14:40

Отчет не прикрепился. Выложите на обменник, а тут укажите ссылку.



#11 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 27 Июнь 2019 - 22:35

Отчет не прикрепился. Выложите на обменник, а тут укажите ссылку.

 

залил отчет на обменник вот ссылка https://file1.uafile.com/83140



#12 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 929 Сообщений:

Отправлено 28 Июнь 2019 - 07:38

Хотя бы это обновление поставьте
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu



#13 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 28 Июнь 2019 - 09:47

Хотя бы это обновление поставьте[/url]

Тут simplix updatepack7 не помешает поставить?

#14 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 929 Сообщений:

Отправлено 28 Июнь 2019 - 10:36

Тут simplix updatepack7 не помешает поставить?
Судя по логам встроенная система обновлений не работает, так что не помешает.

#15 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 28 Июнь 2019 - 11:10

>Да еще - стали запускаться какие-то процессы по 4 штуки NTVDM жрали 100% ресурсов CPU - я их сначала руками прибивал в Диспетчере задач, а потом просто отключил NTVDM в реестре. У меня нет 16 bit приложений и мне он не нужен.

 
Это результат работы кривого даунлодера. Он хотел скачать ехе файл, но скачка не удалась и даунлодер тем не менее попытался это нечто запустить.
 
Блокировать надо не доступ процессу lsass, а ставить обновление MS17-010 или полностью выключать  SMBv1.


#16 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 28 Июнь 2019 - 15:11

 

>Да еще - стали запускаться какие-то процессы по 4 штуки NTVDM жрали 100% ресурсов CPU - я их сначала руками прибивал в Диспетчере задач, а потом просто отключил NTVDM в реестре. У меня нет 16 bit приложений и мне он не нужен.

 
Это результат работы кривого даунлодера. Он хотел скачать ехе файл, но скачка не удалась и даунлодер тем не менее попытался это нечто запустить.
 
Блокировать надо не доступ процессу lsass, а ставить обновление MS17-010 или полностью выключать  SMBv1.

 

 

Так выключать lsass или SMBv1 ? и где это выключается



#17 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 28 Июнь 2019 - 16:55

XLXL, установите актуальные обновления на ОС, хотя бы по безопасности и более 90% проблем отпадут сами собой.



#18 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 28 Июнь 2019 - 17:57

XLXL, установите актуальные обновления на ОС, хотя бы по безопасности и более 90% проблем отпадут сами собой.

 

не устанавливаются обновления - никакие - скачал уже много что с сайте Майкрософта файлы с расширением .msu - везде одна и та же ошибка - 

 

Автономный установщик обновлений - Поиск обновлений на этом компьютере - Обновление не применимо к этому компьютеру.

 

Причем сама программа - автономный установщик обновлений wusa.exe - она есть и она запускается - вот сейчас не закрывая сообщение об ошибке пытался установить другое обновление - не дало - пишет "Автономный установщик обновлений Windows - Разрешается запускать только один экземпляр программы wusa.exe"

 

И встроенный в Windows 7 проводник - Internet Explorer 8.0 - пробовал обновить установив 9.0 10.0 11.0 - не хотят - им тоже нужны несколько обновлений перед инсталом - а обновления эти не хотят устанавливаться.



#19 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 28 Июнь 2019 - 18:12

XLXL, А через штатную службу обновления?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#20 XLXL

XLXL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 28 Июнь 2019 - 18:24

XLXL, А через штатную службу обновления?

 

Не хочет. Панель управления - Система и безопасность - Центр обновления Windows - Проверка обновлений - Не удалось выполнить поиск новых обновлений Ошибка 80073712 Произошла неизвестная ошибка Windows Update




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых