Поймал вирусняк Вэб не выручил. Нужно лечить комп
#1
Отправлено 21 Ноябрь 2019 - 12:16
#2
Отправлено 21 Ноябрь 2019 - 12:16
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 21 Ноябрь 2019 - 12:18
Логи собирал AutoLogger-test
#4
Отправлено 21 Ноябрь 2019 - 12:24
Логи
Прикрепленные файлы:
#5
Отправлено 21 Ноябрь 2019 - 12:28
Нужен отчёт утилиты DrWeb SysInfo.
Doctor Web, Ltd.
#6
Отправлено 21 Ноябрь 2019 - 12:36
СусИнфо завис на этапе создания отчета. Надеюсь отчет будет в его родной папке.
#7
Отправлено 21 Ноябрь 2019 - 12:41
Логи
Архив ANDREYPC_Andrey_211119_122536 слишком велик для загрузки
dwscanner.log тоже не загружается
что делать?
#10
Отправлено 21 Ноябрь 2019 - 12:57
Запустить HijackThis пока не могу - описание запуска не соответствует тому что есть https://ibb.co/231BRtW
#11
Отправлено 21 Ноябрь 2019 - 13:43
Запустить HijackThis пока не могу - описание запуска не соответствует тому что есть https://ibb.co/231BRtW
Искомая кнопка выше, лог HijackThis не нужен.
Doctor Web, Ltd.
#12
Отправлено 21 Ноябрь 2019 - 14:20
Удалите ссылку в ярлыке Firefox и сбросьте его настройки на умолчание, а в планировщике удалите задания {90A640EF-E150-4C86-9DEC-FABAE9104A8D}, {67C4EAFE-E4B8-4A2B-B55B-77B4492A6778}.
Заарахивируйте папки:
C:\Program Files (x86)\Jdfcdxq\
C:\HarddiskVolume2\Program Files\G1ZJ3HIFC7\
C:\Program Files\9HEIY2FE4T\
и сюда прикрепите.
И установите патч MS17-010 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
Сообщение было изменено Eugen Engelhardt: 21 Ноябрь 2019 - 14:32
Doctor Web, Ltd.
#13
Отправлено 21 Ноябрь 2019 - 14:30
Собственно, удалите сначала эту программу (Экранная Камера) штатным способом. Если такого не будет, вот деинсталлятор:
C:\Program Files (x86)\048C~1\unins000.exe
В планировщике заданий удалите задания:
"\{90A640EF-E150-4C86-9DEC-FABAE9104A8D}"
"\Microsoft\Windows\Time Synchronization\ViewUtcTime"
Почистить TEMP (C:\users\andrey\appdata\local\temp) полностью, лучше даже пересоздать каталог, ибо там какой-то подозрительный ADS-стрим (C:\users\andrey\appdata\local\temp:ohhkgwrf3jzzxgnjwy6njcn) и просто рассадник малвари.
C:\Windows\TEMP\ тоже почистить.
В реестре удалите значения:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\6808497
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\59136
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\7180725
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\5108423
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\4814341
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\8728236
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\1695090
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\4469876
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\MarketAdvior
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\ECMHelper
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\kdk4egj1mnj
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tbj3xzzq1ax
И все похожие, возможно проглядел.
Также удалите каталоги:
C:\Users\Andrey\AppData\Roaming\nvngoaah3ch
C:\Users\Andrey\AppData\Roaming\pl5mlf3n4w2
C:\Users\Andrey\AppData\Roaming\50ybf5s2lpp
C:\Users\Andrey\AppData\Roaming\semx0btf1hx
C:\Users\Andrey\AppData\Roaming\utrbeb5cg5y
C:\Program Files (x86)\Jdfcdxq
И подобные
Также заархивируйте содержимое "C:\Users\Andrey\AppData\Roaming\MarketAdvior\" и пришлите в вирлаб (vms.drweb.com), номер тикета сюда. После этого удалить (если нету такой программы в списке, то удалите каталог)
#14
Отправлено 21 Ноябрь 2019 - 14:41
и сюда прикрепите.
Это ты лихо
на vms.drweb.com все, сюда только номера.
#15
Отправлено 21 Ноябрь 2019 - 14:46
#16
Отправлено 21 Ноябрь 2019 - 14:53
Куда и как устанавливать патч?
Чем раньше, тем лучше. Самый хороший вариант - обновиться через штатный механизм обновления системы.
#17
Отправлено 21 Ноябрь 2019 - 14:55
А если внимательнее посмотреть?3. в планировщике удалите задания
{90A640EF-E150-4C86-9DEC-FABAE9104A8D},
{67C4EAFE-E4B8-4A2B-B55B-77B4492A6778}.
Не понятно - https://ibb.co/V2WcXw1
#18
Отправлено 21 Ноябрь 2019 - 15:55
Это ты лихо
Ага, погорячился
1. Удалите ссылку в ярлыке Firefox - какую ссылку ? где она?
В свойстве ярлыка FF
{90A640EF-E150-4C86-9DEC-FABAE9104A8D},
{67C4EAFE-E4B8-4A2B-B55B-77B4492A6778}
Они самые, в планировщике заданий имеются.
Куда и как устанавливать патч?
Скачайте для своей разрядности системы и установите:
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215
Можно их получить и через обновления Windows, они там значатся, как Обновления системы безопасности.
Doctor Web, Ltd.
#19
Отправлено 21 Ноябрь 2019 - 16:29
В свойстве ярлыка FF1. Удалите ссылку в ярлыке Firefox - какую ссылку ? где она?
Не, это не ярлык. В темпе сидит малвара и запускает
2019-Nov-21 12:06:20.194201 [ 4484] [INF] [arkdll] [3548] id: 15516, timestamp: 12:06:20.193, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4340/8820:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp:4340 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:7392 sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0 curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/" fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2 hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown id: 15516 ==> undefined [1], time: 0.863456 ms 2019-Nov-21 12:06:20.196202 [ 4484] [INF] [arkdll] [3548] id: 15517, timestamp: 12:06:20.196, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4436/3020:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp:4436 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:8176 sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0 curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/" fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2 hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown id: 15517 ==> undefined [1], time: 0.644500 ms
#20
Отправлено 21 Ноябрь 2019 - 18:31
В свойстве ярлыка FF1. Удалите ссылку в ярлыке Firefox - какую ссылку ? где она?
Не, это не ярлык. В темпе сидит малвара и запускает
2019-Nov-21 12:06:20.194201 [ 4484] [INF] [arkdll] [3548] id: 15516, timestamp: 12:06:20.193, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4340/8820:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-D5HVG.tmp\Bchichla.tmp:4340 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:7392 sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0 curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/" fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2 hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown id: 15516 ==> undefined [1], time: 0.863456 ms 2019-Nov-21 12:06:20.196202 [ 4484] [INF] [arkdll] [3548] id: 15517, timestamp: 12:06:20.196, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-21-257086860-606834416-2504153226-1000, cid: 4436/3020:\Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp context: start addr: 0x74cb42ed, image: 0x74ca0000:\Device\HarddiskVolume2\Windows\SysWOW64\shlwapi.dll created process: \Device\HarddiskVolume2\Users\Andrey\AppData\Local\Temp\is-NS5Q7.tmp\050lanib3ys.tmp:4436 => \Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe:8176 sid: S-1-5-21-257086860-606834416-2504153226-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0 curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "https://thegoodcaster.com/redirect/57a764d042bf8/" fileinfo: size: 577568, easize: 0, attr: 0x20, buildtime: 30.10.2019 07:43:48.000, ctime: 01.11.2019 20:05:51.041, atime: 01.11.2019 20:05:51.041, mtime: 01.11.2019 20:05:57.282, descr: Firefox, ver: 70.0.1, company: Mozilla Corporation, oname: firefox.exe signer: C=US|ST=California|L=Mountain View|O=Mozilla Corporation|OU=Release Engineering|CN=Mozilla Corporation, timestamp: 30.10.2019 08:19:32.000, thumbprint: 74b2e146a82f2b71f8eb4b13ebbb6f951757d8c2 hash: dd1cf5447dc85dad1f5a7dd4f2d1c9f22d97a16c status: db_cert_white_list, signed, pe64, db_cert_protected / signed / unknown / unknown id: 15517 ==> undefined [1], time: 0.644500 ms
Какая то adware и ее производные.
<file path="C:\Users\Andrey\AppData\Local\Temp\is-OTBFS.tmp\Bchichla.exe" size="653142" links="1" ctime="21.11.2019 07:21:47.551" atime="21.11.2019 07:21:47.551" wtime="19.11.2019 16:47:58.000" buildtime="20.06.1992 02:22:17.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-257086860-606834416-2504153226-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-257086860-606834416-2504153226-1000)" /><hash sha1="4f49d0b26ee497d999c77ec638b5cae4be6b110d" sha256="9b4718a7b09de828cfa830b46ba6120146bf516351d3b1bc00a09b8d5cdb72d4" /><arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" /><verinfo company=" " descr="Souleym Setup " origname="" version=" " product_name="Souleym
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых