Перейти к содержимому


Фото
- - - - -

Стиллер


  • Закрыто Тема закрыта
21 ответов в этой теме

#1 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 02:06

Здравствуйте.Сегодня словил стиллер. Получили доступ к вк,при чем подтверждение по смс не запросило,видимо украли кэш. Помимо этого украли данные о картах в таком формате:
Name: Google Chrome 
Card Number: 5********
Name: K*************
Date: 5/2021 

(данные заменил звездочками) 

почти уверен,что подхватил эту фигню отсюда (ссылка удалена).
Прошу умельцев проверить файл и помочь.Пишу с другого пк,тот отключен от интернета.Пароли сменил.Очень прошу и жду помощи

 

P.S. Знаю,что нужно прикреплять отчет,но я боюсь подключать зараженный компьютер к интернету,а так же передавать информацию внешними носителями.Боюсь распространения вируса.Утилитой (Dr.Wtv CeruIt) проверял,ничего не найдено 


Сообщение было изменено maxic: 06 Май 2019 - 10:05
удалена потенциально опасная ссылка


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 674 Сообщений:

Отправлено 06 Май 2019 - 02:06

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 06 Май 2019 - 08:39

Нужен отчет DrWeb SysInfo, ссылка на который есть в ответе робота.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 262 Сообщений:

Отправлено 06 Май 2019 - 10:04

Тикеты вирлаба на экзешник #8669139 и dll #8669145.



#5 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 10:48

Тикеты вирлаба на экзешник #8669139 и dll #8669145.

А что с ними делать не подскажите?



#6 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 653 Сообщений:

Отправлено 06 Май 2019 - 10:55

 

Тикеты вирлаба на экзешник #8669139 и dll #8669145.

А что с ними делать не подскажите?

 

Ничего.



#7 Alexander13

Alexander13

    Member

  • Posters
  • 191 Сообщений:

Отправлено 06 Май 2019 - 10:56

 

Тикеты вирлаба на экзешник #8669139 и dll #8669145.

А что с ними делать не подскажите?

 

 

Ждать, пока специалисты найдут решение и будет занесено в базу, чтобы потом обновить CureIT -и повторно пролечить систему, чтобы удалить вредонос...


Все будет хорошо..


#8 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 11:01

Нужен отчет DrWeb SysInfo, ссылка на который есть в ответе робота.

Прикреплял,выскакивала ошибка,что файл слишком велик.

Залил сюда https://dropmefiles.com/CqMnD 



#9 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 06 Май 2019 - 11:31

Это Ваше?

<file path="C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe" size="1885184" links="1" ctime="06.05.2019 00:00:08.585" atime="06.05.2019 00:00:08.585" wtime="01.05.2019 21:12:39.379" buildtime="01.05.2019 21:12:39.000">
	<attrib archive="true" value="20" />
	<hash sha1="10eac6982e6a6f9782b57bd1801e03c8c3cf3ced" sha256="4181fca4722d84f346cca9a70610a032c8f8bfedeb1030c5de1a3a88c1e00868" />
	<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
	<verinfo company="WinRM Migration Plugin" descr="Столбцы в списках" origname="raserver.exe" version="1.3.6.1" product_name="" product_version="1.3.6.1" file_version_ls="393217" file_version_ms="65539" product_version_ls="393217" product_version_ms="65539" />
</file>

<mstasks>
        <item name="\E-9-6-83-1090270714-1061320521-1357204760-1037\{OEYNLM42-TBOC-A9WU-TG7X-G5SHE5DF18OX}" state="running" command="&quot;C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe&quot;" />
</mstasks>

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 11:35

 

Это Ваше?

<file path="C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe" size="1885184" links="1" ctime="06.05.2019 00:00:08.585" atime="06.05.2019 00:00:08.585" wtime="01.05.2019 21:12:39.379" buildtime="01.05.2019 21:12:39.000">
	<attrib archive="true" value="20" />
	<hash sha1="10eac6982e6a6f9782b57bd1801e03c8c3cf3ced" sha256="4181fca4722d84f346cca9a70610a032c8f8bfedeb1030c5de1a3a88c1e00868" />
	<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
	<verinfo company="WinRM Migration Plugin" descr="Столбцы в списках" origname="raserver.exe" version="1.3.6.1" product_name="" product_version="1.3.6.1" file_version_ls="393217" file_version_ms="65539" product_version_ls="393217" product_version_ms="65539" />
</file>

<mstasks>
        <item name="\E-9-6-83-1090270714-1061320521-1357204760-1037\{OEYNLM42-TBOC-A9WU-TG7X-G5SHE5DF18OX}" state="running" command="&quot;C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe&quot;" />
</mstasks>

не понимаю что это.Видимо нет,не мое.



#11 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 11:40

 

Это Ваше?

<file path="C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe" size="1885184" links="1" ctime="06.05.2019 00:00:08.585" atime="06.05.2019 00:00:08.585" wtime="01.05.2019 21:12:39.379" buildtime="01.05.2019 21:12:39.000">
	<attrib archive="true" value="20" />
	<hash sha1="10eac6982e6a6f9782b57bd1801e03c8c3cf3ced" sha256="4181fca4722d84f346cca9a70610a032c8f8bfedeb1030c5de1a3a88c1e00868" />
	<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
	<verinfo company="WinRM Migration Plugin" descr="Столбцы в списках" origname="raserver.exe" version="1.3.6.1" product_name="" product_version="1.3.6.1" file_version_ls="393217" file_version_ms="65539" product_version_ls="393217" product_version_ms="65539" />
</file>

<mstasks>
        <item name="\E-9-6-83-1090270714-1061320521-1357204760-1037\{OEYNLM42-TBOC-A9WU-TG7X-G5SHE5DF18OX}" state="running" command="&quot;C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe&quot;" />
</mstasks>

Пока искал,наткнулся на еще один интересный файл.  C:\Users\acer\AppData\Roaming\123.exe (залил [удалено]).Создан он был 6 мая в 00:00,примерно в это же время я и запустил экзешник,который прикреплял в начале поста. Кстати с временем с логов (ctime="06.05.2019 00:00:08.585" atime="06.05.2019 00:00:08.585"),что вы отправили,совпадает один в один 


Сообщение было изменено VVS: 06 Май 2019 - 11:55


#12 VVS

VVS

    The Master

  • Moderators
  • 17 321 Сообщений:

Отправлено 06 Май 2019 - 11:57

UepUn, подозрительные файлы нужно отправлять в вирлаб, а не выкладывать сюда.

Сюда нужно сообщать номер тикета, полученного от вирлаба.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 VVS

VVS

    The Master

  • Moderators
  • 17 321 Сообщений:

Отправлено 06 Май 2019 - 12:09

Тикет #8669249


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#14 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 12:11

UepUn, подозрительные файлы нужно отправлять в вирлаб, а не выкладывать сюда.

Сюда нужно сообщать номер тикета, полученного от вирлаба.

Модератор.

Извиняюсь,не знал.Залил тот файл на вирлаб. #8669252 



#15 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 262 Сообщений:

Отправлено 06 Май 2019 - 12:47

По тому, что я отсылал.
 
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
 
Угроза: Trojan.Siggen8.26363, Trojan.MulDrop9.9434, Trojan.PWS.Stealer.26166


#16 VVS

VVS

    The Master

  • Moderators
  • 17 321 Сообщений:

Отправлено 06 Май 2019 - 12:48

По #8669249 вирлаб мне ответил, что это не вирус.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#17 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 899 Сообщений:

Отправлено 06 Май 2019 - 12:56

UepUnmaxic, скиньте плз в личку ссылку, которая удалена из первого сообщения.



#18 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 15:41

 

Это Ваше?

<file path="C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe" size="1885184" links="1" ctime="06.05.2019 00:00:08.585" atime="06.05.2019 00:00:08.585" wtime="01.05.2019 21:12:39.379" buildtime="01.05.2019 21:12:39.000">
	<attrib archive="true" value="20" />
	<hash sha1="10eac6982e6a6f9782b57bd1801e03c8c3cf3ced" sha256="4181fca4722d84f346cca9a70610a032c8f8bfedeb1030c5de1a3a88c1e00868" />
	<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
	<verinfo company="WinRM Migration Plugin" descr="Столбцы в списках" origname="raserver.exe" version="1.3.6.1" product_name="" product_version="1.3.6.1" file_version_ls="393217" file_version_ms="65539" product_version_ls="393217" product_version_ms="65539" />
</file>

<mstasks>
        <item name="\E-9-6-83-1090270714-1061320521-1357204760-1037\{OEYNLM42-TBOC-A9WU-TG7X-G5SHE5DF18OX}" state="running" command="&quot;C:\Users\acer\AppData\Roaming\amd64_microsoft-windows-s..-installers-onecore\LicenseManager.exe&quot;" />
</mstasks>

Проверил еще раз,эта фигня не моя и относится к этому вирусу.Директория как-то хитро скрыта,процесс запускается сам и висит,описание процесса бредовое. тикет экзешника :  #8669467



#19 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 06 Май 2019 - 16:01

UepUn, его уже добавили из Вашего первого линка на Яндекс.Диске. Попробуйте скачать свежий CureIt и пройтись им.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#20 UepUn

UepUn

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 06 Май 2019 - 16:16

UepUn, его уже добавили из Вашего первого линка на Яндекс.Диске. Попробуйте скачать свежий CureIt и пройтись им.

Прошелся,там он отобразился,угрозу "обезвредил".Теперь можно не опасаться,вирус удален?


Сообщение было изменено UepUn: 06 Май 2019 - 16:16



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых