23 ответов в этой теме

[Александр 69]

На прошлой неделе, как я подозреваю, при копировании с флешки файла, записанного мною в нашей областной научной библиотеке, у меня появился вирус VBS.Worm.12, который на флешке создаёт ярлыки для папок, делая сами папки и файлы недоступными.

 

Вчера я 2 раза провёл полную проверку компьютера с помощью Dr. Web, после 1-й проверки я удалил все найденные вирусы, а после завершения 2-й проверки Dr. Web сообщил мне, что вирусов у меня на компьютере нет.

 

После этого флешка была отформатирована. Но как только я создал на этой флешке новую папку, на флешке опять появился всё тот же вирус VBS.Worm.12 и стал делать то же самое, что делал раньше.

 

Затем активировался Dr. Web, удалил этот вирус и выдал соответствующее сообщение, но вирус опять появился, после чего Dr. Web опять его удалил и так по кругу. 

 

Я думаю, что если не отключу флешку, этот цикл "появление вируса - сообщение Dr. Web о его удаление - появление вируса" будет продолжаться непрерывно.

 

Очень буду Вам благодарен, если Вы мне поможете решить эту проблему.

 

---------------------------------

 

Не знаю связано ли это с VBS.Worm.12, но теперь у меня происходит частое (прибл. 1 раз в 6 секунд) обращение к жесткому диску, то есть, вспыхивает лампочка на системном блоке и раздаётся соответствующий звук, когда вообще никакая программа на компьютере не запущена.

 

Из-за этого компьютер перестал сам (после истечения определенного времени) переходить в спящий режим, и теперь переходит в этот режим только принудительно.

Прикрепленные файлы:

•  MICROSOF-194926_Admin_310515_234822.zip   1,59Мб   1 Скачано раз
•  hijackthis.log   10,84К   3 Скачано раз
•  dwscanner.log   25,26К   2 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[RomaNNN]

Это фиксить в HJ:

 

O4 - HKLM\..\Run: [fmjhualjvp] wscript.exe //B "C:\DOCUME~1\Admin\LOCALS~1\Temp\fmjhualjvp.vbs"

O4 - HKCU\..\Run: [fmjhualjvp] wscript.exe //B "C:\DOCUME~1\Admin\LOCALS~1\Temp\fmjhualjvp.vbs"

O4 - Startup: fmjhualjvp.vbs

 

+ Чистить %TEMP%

[Александр 69]

+ Чистить %TEMP%

 

Это где?

 

И как его чистят?

[Dmitry_rus]

c:\windows\temp

C:\Documents and settings\Admin\Local Settings\Temp

Включить в настройках Проводника отображение скрытых и системных файлов.

Удалить всё содержимое этих папок. Выделить всё (Ctrl+A) и нажать Shift+Del.

Сообщение было изменено Dmitry_rus: 01 Июнь 2015 - 00:21

[Александр 69]

c:\windows\temp

C:\Documents and settings\Admin\Local Settings\Temp

Включить в настройках Проводника отображение скрытых и системных файлов.

Удалить всё содержимое этих папок. Выделить всё (Ctrl+A) и нажать Shift+Del.

 

Вышеупомянутые записи в  HJ пофиксил.

 

-----------------------------

 

Часть файлов из вышеназванных папок (c:\windows\temp и C:\Documents and settings\Admin\Local Settings\Temp) удалилась, но часть не удаляется - появляется надпись "Объект используется другой программой".

 

Из открытых программ у меня сейчас только два проводника и два окна браузера Google Chrome.

 

Должны ли быть удалены все файлы?

[Dmitry_rus]

Закройте хром. Не сверните, а именно закройте. Возможно, он в темпах держит свои файлы. А может быть, какая-то другая программа из запущенных. Попробуйте сделать то же, загрузившись в безопасном режиме (F8 при загрузке)

Сообщение было изменено Dmitry_rus: 01 Июнь 2015 - 00:35

[mrbelyash]

hj от админа запущен?

----

если не помогает

-откл сеть

-аньтруткитом

[Александр 69]

Закройте хром. Не сверните, а именно закройте. Возможно, он в темпах держит свои файлы. А может быть, какая-то другая программа из запущенных. Попробуйте сделать то же, загрузившись в безопасном режиме (F8 при загрузке)

 

 

Отключил сеть и закрыл Google Сhrome, теперь были открыты только два проводника.

 

В C:\Documents and Settings\Admin\Local Settings\Temp удалось удалить все файлы.

 

В C:\WINDOWS\Temp два файла "Perflib_Perfdata_4c0.dat" и "Perflib_Perfdata_ab0.dat" по-прежнему не удаляются и по-прежнему появляется надпись "Объект используется другой программой".

 

------------------------------------

 

Что значит "попробуйте сделать то же, загрузившись в безопасном режиме (F8 при загрузке)"?

 

При загрузке чего (Google Chrome?) в какой момент мне нужно нажимать F8?

[Александр 69]

hj от админа запущен?

----

если не помогает

-откл сеть

-аньтруткитом

 

HJ запущен от админа, сеть отключал.

 

Что такое "аньтруткит" и где его взять?

[Dmitry_rus]

Всё нормально. Perflib - это файлы для счетчиков производительности, используемых системой. F8 надо было нажимать в самом начале загрузки ОС, еще до появления ее логотипа.

При повторной проверке вирусы находятся?

Сообщение было изменено Dmitry_rus: 01 Июнь 2015 - 00:50

[Александр 69]

 

Это фиксить в HJ:

 

O4 - HKLM\..\Run: [fmjhualjvp] wscript.exe //B "C:\DOCUME~1\Admin\LOCALS~1\Temp\fmjhualjvp.vbs"

O4 - HKCU\..\Run: [fmjhualjvp] wscript.exe //B "C:\DOCUME~1\Admin\LOCALS~1\Temp\fmjhualjvp.vbs"

O4 - Startup: fmjhualjvp.vbs

 

+ Чистить %TEMP%

 

Были неоднократно выполнены вышерекомендованные действия в рекомендованной последовательности.

 

То есть, я запускал HJ, ставил галочки против названий вышеуказанных пунктов, потом нажимал Fix Checked, а на появившийся вопрос (надо ли уничтожать выбранные позиции), я отвечал "Да".

 

После этого я удалял всё содержимое c:\windows\temp (там не удалялись только "Perflib_Perfdata_4c0.dat" и "Perflib_Perfdata_ab0.dat") и C:\Documents and settings\Admin\Local Settings\Temp.

 

Но когда я вставил флешку, на ней Dr. Web опять обнаружил вирус и опять начался бесконечный цикл, описанный мною в первом сообщении темы.

 

-------------------

 

Кстати, позиции, рекомендованные к удалению в HJ появляются и при запуске HJ при вынутой флешке, на мой взгляд, это говорит о том, что вирус продолжает сидеть в компьютере (и не удаляется), а не попадает в компьютер с флешки.  

 

 

 

[Dmitry_rus]

Если на флешке срабатывает autorun - то может и с флешки попадать. Проверьте ЛС.

[Александр 69]

Если на флешке срабатывает autorun - то может и с флешки попадать.

 

Если я вынимаю флешку из компьютера и осуществляю рекомендованные действия (то есть, уничтожаю выбранные позиции в HJ и очищаю два указанных каталога), а потом, не вставляя флешки, опять запускаю HJ и вижу, что только что уничтоженные позиции опять появились, это, на мой взгляд, означает, что вирус попадает в компьютер не с флешки (поскольку она вынута из компьютера).

Сообщение было изменено Александр 69: 01 Июнь 2015 - 01:32

[Dmitry_rus]

Значит у вас работают посторонние процессы. Как вариант - планировщик заданий может что-то запускать. Посмотрите и удалите лишние задания. Да и список автозагрузки неплохо бы проанализировать. Пуск - Выполнить - msconfig (вкладка Автозагрузка)

Сообщение было изменено Dmitry_rus: 01 Июнь 2015 - 01:37

[Александр 69]

 

Значит у вас работают посторонние процессы. Как вариант - планировщик заданий может что-то запускать. Посмотрите и удалите лишние задания. Да и список автозагрузки неплохо бы проанализировать. Пуск - Выполнить - msconfig (вкладка Автозагрузка)

 

Где и как я могу удалять лишние задания, и как я могу понять, что они лишние?

 

------------------------------

 

Относительно списка автозагрузки есть определенная информация (см. ниже).

 

Когда я открыл список автозагрузки, я увидел, что там сразу в трех строках присутствует название программы "fmjhualjvp", которую RomaNNN порекомендовал мне удалить из HJ.

 

Я снял галки с этих трех позиций и перезагрузил компьютер.

 

Но когда я после перезагрузки снова посмотрел в список автозагрузки, я увидел, что позиций с надписью "fmjhualjvp" уже стало 5 - причем галки стояли напротив 3, а напротив 2 позиций квадратики были пустые (без галок).

Сообщение было изменено Александр 69: 01 Июнь 2015 - 01:56

[Dmitry_rus]

Панель управления - Назначенные задания. Попробуйте также программу Adwcleaner.

https://toolslib.net/downloads/finish/1/

[Александр 69]

Панель управления - Назначенные задания. Попробуйте также программу Adwcleaner.
https://toolslib.net/downloads/finish/1/

 

В назначенных заданиях у меня всего два задания - Ежедневное сканирование Dr. Web (отключено) и GoogleUpdateTaskMachineCore.

 

Программу Adwcleaner я скачал и запустил (настроек не менял, потому что не знаю, чего менять). Программа отработала и попросила перезагрузить компьютер, после перезагрузки все строки с названием вируса в списке автозагрузки остались на месте и, как прежде, 3 из них были отмечены галочками.

 

Также наличие вируса показал и HJ.

[Dmitry_rus]

1. В настройках Превентивной защиты Dr.Web временно всё разрешите.

2. Запустите msconfig, перейдите на вкладку Автозагрузка, снимите галки с fmjhualjvp.vbs, нажмите Применить.

3. (желательно) переименуйте файл wscript.exe

4. В настройках Превентивной защиты запретите ВСЁ, кроме пунктов "Загрузка драйверов" и "Системные службы" (их оставьте в Разрешить).

Очевидно, вашей квалификации пока недостаточно для того, чтобы справиться с заразой самостоятельно... Ждите mrbelyash, он у нас хелпер, поможет, если будет свободное время и желание.

[Александр 69]

Я решил пойти не тем путём, который предложил Dmitry_rus и, как мне кажется, проблему с вирусом VBS.Worm.12 я решил.

 

Но поскольку я первый раз в жизни воевал с вирусом, который не выводился антивирусной программой, я прошу опытных людей, при возможности, оценить правильность моих действий.

 

1. Я через команду msconfig зашел в Настройки системы и на вкладке "Общие" сделал пустым квадратик "Загружать элементы автозагрузки". В этом квадратике у меня не стояла галочка, но он не был и пустым - квадратик был заполнен зеленым цветом. То есть, я щелкнул по этому квадратику, чтобы он стал пустым.
    
2. Я перезагрузил компьютер и проверил его с помощью HJ - HJ вируса на обнаружил.
    
3. Я опять зашел в Настройки системы и, на этот раз, на вкладке "Общие" поставил галочку в квадратике "Загружать элементы автозагрузки", а потом перешел на вкладку "Автозагрузка" и снял галочки со строк с вирусом fmjhualjvp. 
   Ранее до перезагрузки с отключенной автозагрузкой такое снимание галочек ничего не давало, поскольку после перезагрузки напротив строк с вирусом опять появлялись галочки.
    
4. Но теперь, когда я опять перезагрузил компьютер и посмотрел в список Автозагрузки, я увидел, что около строк с вирусом галочки не стоят,
   
   HJ показал, что вируса моем компьютере нет - попытка создать на флешке каталог была успешной, каталог не исчез через несколько секунд после создания, то есть, не был заменен на ярлык, прекратилось и обращение к жесткому диску каждые 6 секунд. То есть, проблемы, которые я описал в первом сообщении темы, были решены.
    
5. Перезагрузка компьютера несколько раз показала, что вирус больше не появляется.

 

И, как я написал выше,  я прошу опытных людей, при возможности, оценить правильность моих действий.

 

P.S.

И ещё одни вопрос - не могу ли я как-то удалить две строки с названием вируса из Списка автозагрузки?

 

Сейчас эти строки не отмечены галочками, но мало ли чего будет в будущем, вдруг опять напротив них галочки начнут появляться.

 

Выделение этих строк мышью и нажатие на кнопку Delete ничего не даёт. Выделение этих строк мышью и нажатие на правую кнопку мыши тоже не вызывает какого-либо контекстного меню, которое позволило бы удалить эти строки.