Перейти к содержимому


Фото
* * * * - 2 Голосов

Скачал вирус вместе с программкой

вирус

  • Please log in to reply
95 ответов в этой теме

#1 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 17:26

Добрый день.

 

На сайте пытался скачать программку, в результате чего скачал вирус в прикреплённых скрин ссылки, по которой скачал программу).

 

Скачались и установились по классике сюжета Амиго, Mailruupdater, в Хроме запускается реклама на любых сайтах и открываются произвольно новые окна с рекламой. Переустанавливал Хром, не помогло. Хром периодически закрывается, а при открытии файловой системы (сохранить или загрузить на сайты файл) проводник подвисает на 20-30 секунд.

В других браузерах вроде норм.

 

Win 10

Cureit нашёл два вируса - в отчёте вроде отражены. Удаление не помогло.

Утилита dwsysinfo.exe вылетает, не сохраняя лог (прекращена работа программы после минуты-двух простоя).

Прикрепленные файлы:


Сообщение было изменено RomaNNN: 24 Август 2017 - 17:30
На форуменельзя выкладывать вирусы и вирусные ссылки


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 090 Сообщений:

Отправлено 24 Август 2017 - 17:26

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 24 Август 2017 - 17:34

Утилита dwsysinfo.exe вылетает, не сохраняя лог (прекращена работа программы после минуты-двух простоя).

Это стабильно? Сисинфо свежий? Откуда качали?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 24 Август 2017 - 17:37

попробуйте собрать отчет этой http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 17:42

 

Утилита dwsysinfo.exe вылетает, не сохраняя лог (прекращена работа программы после минуты-двух простоя).

Это стабильно? Сисинфо свежий? Откуда качали?

 

По ссылке из правил создания темы.
Зависает всегда на разных этапах.



#6 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 24 Август 2017 - 18:23

Все это fix в hijackthis 
 
O4 - HKCU\..\Run: [setupsk_upd] "C:\Users\CA74~1\AppData\Roaming\SETUPS~1\python\pythonw.exe" "C:\Users\CA74~1\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd"
O4 - HKCU\..\Run: [setupsk] "C:\Users\CA74~1\AppData\Roaming\setupsk\python\pythonw.exe" "C:\Users\CA74~1\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk"
O4 - HKCU\..\Run: [decofddeijdianggpbbefflnpihjdmbn] "C:\Users\Айдар\AppData\Roaming\decofddeijdianggpbbefflnpihjdmbn\python\pythonw.exe" "C:\Users\Айдар\AppData\Roaming\decofddeijdianggpbbefflnpihjdmbn\ml.py" --APPNAME="decofddeijdianggpbbefflnpihjdmbn"
O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5
O4 - HKCU\..\RunOnce: [pggmbosqhf] "C:\Users\Айдар\AppData\Local\Temp\cZuL4FvvR84g.exe"
O4 - HKCU\..\RunOnce: [skhgpuvakn] "C:\Users\Айдар\AppData\Local\Temp\HLbX584p7lp8.exe"
O4 - HKCU\..\RunOnce: [speeddialmaker_delete_self] "C:\Users\CA74~1\AppData\Local\Temp\9DTFJK~1.EXE" --selfdelete
 
 
Файлы ml.py , yc.exe, cZuL4FvvR84g.exe, HLbX584p7lp8.exe, 9DTFJK~1.EXE  на анализ в вир_лаб https://vms.drweb.ru/sendvirus/?lng=ru (каждый файл по отдельности)


#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 24 Август 2017 - 18:29

Питон? Ого!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 18:52

 

Все это fix в hijackthis 
 
O4 - HKCU\..\Run: [setupsk_upd] "C:\Users\CA74~1\AppData\Roaming\SETUPS~1\python\pythonw.exe" "C:\Users\CA74~1\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd"
O4 - HKCU\..\Run: [setupsk] "C:\Users\CA74~1\AppData\Roaming\setupsk\python\pythonw.exe" "C:\Users\CA74~1\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk"
O4 - HKCU\..\Run: [decofddeijdianggpbbefflnpihjdmbn] "C:\Users\Айдар\AppData\Roaming\decofddeijdianggpbbefflnpihjdmbn\python\pythonw.exe" "C:\Users\Айдар\AppData\Roaming\decofddeijdianggpbbefflnpihjdmbn\ml.py" --APPNAME="decofddeijdianggpbbefflnpihjdmbn"
O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5
O4 - HKCU\..\RunOnce: [pggmbosqhf] "C:\Users\Айдар\AppData\Local\Temp\cZuL4FvvR84g.exe"
O4 - HKCU\..\RunOnce: [skhgpuvakn] "C:\Users\Айдар\AppData\Local\Temp\HLbX584p7lp8.exe"
O4 - HKCU\..\RunOnce: [speeddialmaker_delete_self] "C:\Users\CA74~1\AppData\Local\Temp\9DTFJK~1.EXE" --selfdelete
 
 
 
Файлы ml.py , yc.exe, cZuL4FvvR84g.exe, HLbX584p7lp8.exe, 9DTFJK~1.EXE  на анализ в вир_лаб https://vms.drweb.ru/sendvirus/?lng=ru (каждый файл по отдельности)

 

Спасибо! Пофиксил то, что осталось - дело в том, что несколько раз ребутился в безопасном режиме и проверял Cureit, удаляя вирусы. Из Вашего списка нашёл только 3 пункта.

Ниже список всех строк, начинающихся с O4, посмотрите, плиз:

 

O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files (x86)\WebMoney Agent\wmagent.exe"
O4 - HKCU\..\Run: [Joxi] "C:\Program Files (x86)\Joxi\Joxi.exe"
O4 - HKCU\..\Run: [OneDrive] "C:\Users\јйдар\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Users\јйдар\AppData\Local\Akamai\netsession_win.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\јйдар\AppData\Local\yc\Application\yc.exe" /prefetch:5
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'NETWORK SERVICE')
O4 - Startup: Punto Switcher.lnk = C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe
O4 - Startup: ќтправка в OneNote.lnk = C:\Program Files\Microsoft Office\Office15\ONENOTEM.EXE
O4 - Global Startup: Network Server.lnk = C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe

 

И также прилагаю скрин того, что нашёл Cureit после первого скана в безопасном режиме: http://joxi.ru/D2PjplXupXlwgr.jpg


Питон? Ого!

Это плохо?



#9 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 18:54

В безопасном режиме удалось доделать отчёт от dwsysinfo - в прикреплённом файл отчёта.

Прикрепленные файлы:



#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 24 Август 2017 - 18:56

архив битый
вы запускали другой сборщик по моей ссылке?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 18:56

Вручную поудалял файлы с расширениями exe и названиями и рандомных наборов символов без разбора из папки user/appdata/local/temp.

После перезагрузки брандмауер спрашивал, можно ли запускать по каждому из этих файлов.



#12 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 18:59

архив битый
вы запускали другой сборщик по моей ссылке?

Да, его и запускал

Видимо, не тот архив прикрепился (отчёт в зипе создаются, даже когда прога прекращает работу). Сейчас другой, должен открыться.

Прикрепленные файлы:



#13 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 19:00

Сканирую опять Кюрейтом, вот что уже нашёл: http://joxi.ru/52a1dxLU4xBZv2.jpg(hosts изменял я сам - там лишнего ничего вроде нет).



#14 Internet

Internet

    Member

  • Posters
  • 444 Сообщений:

Отправлено 24 Август 2017 - 19:07

Питон? Ого!

Это плохо?

Это язык программирования



#15 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 19:11

В диспетчере опять открыт экзе, задача не снимается, а из папки файл не удаляется "Вам требуется разрешение от /root/user)" http://joxi.ru/DrlakG1TvQ5Zkm.jpg


Сообщение было изменено Kaztur: 24 Август 2017 - 19:11


#16 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 19:13

Можно очистить всю папку /user/appdata/local/temp или там что-то нельзя удалять? Или это 100% не поможет?


Сообщение было изменено Kaztur: 24 Август 2017 - 19:14


#17 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 24 Август 2017 - 19:14

 

O4 - HKCU\..\RunOnce: [pggmbosqhf] "C:\Users\Айдар\AppData\Local\Temp\cZuL4FvvR84g.exe"

O4 - HKCU\..\RunOnce: [skhgpuvakn] "C:\Users\Айдар\AppData\Local\Temp\HLbX584p7lp8.exe"

 

https://virustotalcloud.appspot.com/nui/index.html#/file/5d5da4f616e21f1dca3c502a20a94d2fc2142b40e7cb5d9926f17e4e12ca525c/detection

 

O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5

 

https://virustotalcloud.appspot.com/nui/index.html#/file/b8b43010065bc1ad58a003e09d59327879e416af402d084db3fcdc0a360d9917/detection

 

 

cZuL4FvvR84g.exe и yc.exe в Вирусную лабораторию отправьте https://vms.drweb.ru/sendvirus/?lng=ru


Сообщение было изменено Dmitry Shutov: 24 Август 2017 - 19:15


#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 24 Август 2017 - 19:14

В диспетчере опять открыт экзе, задача не снимается, а из папки файл не удаляется "Вам требуется разрешение от /root/user)" http://joxi.ru/DrlakG1TvQ5Zkm.jpg

это cureit
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 ХХХ

ХХХ

    Newbie

  • Posters
  • 91 Сообщений:

Отправлено 24 Август 2017 - 19:17

Kaztur, Вы можете выкладывать фотографии прямо на форум?

 

Делается это так: В поле ответить нажимаете кнопку Полный редактор, пишите текст и прикладываете фото, отправляете.



#20 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 24 Август 2017 - 19:25

 

 

O4 - HKCU\..\RunOnce: [pggmbosqhf] "C:\Users\Айдар\AppData\Local\Temp\cZuL4FvvR84g.exe"

O4 - HKCU\..\RunOnce: [skhgpuvakn] "C:\Users\Айдар\AppData\Local\Temp\HLbX584p7lp8.exe"

 

https://virustotalcloud.appspot.com/nui/index.html#/file/5d5da4f616e21f1dca3c502a20a94d2fc2142b40e7cb5d9926f17e4e12ca525c/detection

 

O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5

 

https://virustotalcloud.appspot.com/nui/index.html#/file/b8b43010065bc1ad58a003e09d59327879e416af402d084db3fcdc0a360d9917/detection

 

 

cZuL4FvvR84g.exe и yc.exe в Вирусную лабораторию отправьте https://vms.drweb.ru/sendvirus/?lng=ru

 

Что делать с первыми двумя ссылками?
Отправил в лабораторию yc.exe.
Первый файл удалил - может отправить другой из той же папки с названием из наборов символов?





Also tagged with one or more of these keywords: вирус

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых