Перейти к содержимому


Фото
- - - - -

Запустил файл, стали сами открываться окна с рекламой.


  • Закрыто Тема закрыта
20 ответов в этой теме

#1 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 31 Август 2019 - 01:07

запустил файл.

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 31 Август 2019 - 01:07

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 31 Август 2019 - 02:57

Малварне/рекламные коннекты идут в первую очередь от:
"C:\Users\аа\AppData\Roaming\YoutubeDownloader\python\python.exe"

Есть и прямые ярлыки:

<item target="C:\Windows\System32\rundll32.exe" arg="url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;"data="C:\Windows\System32\rundll32.exe url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;" threat="SHORTCUT:SUSPICIOUS.Downloader" arkstatus="unknown_malware" path="C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" />
<item target="C:\Windows\System32\rundll32.exe" arg="url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;"data="C:\Windows\System32\rundll32.exe url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;" threat="SHORTCUT:SUSPICIOUS.Downloader" arkstatus="unknown_malware" path="C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk" />

Адварные таски:

<item name="\YoutubeDownloader" state="ready" command="C:\Users\аа\AppData\Roaming\YoutubeDownloader\python\pythonw.exe &quot;start.pyc&quot; ml3" workdir="C:\Users\аа\AppData\Roaming\YoutubeDownloader" />
<item name="\CostripRu" state="ready" command="C:\Users\аа\AppData\Roaming\CostripRu\python\pythonw.exe &quot;load.pyc&quot; ml2" workdir="C:\Users\аа\AppData\Roaming\CostripRu" />
<item name="\YoutubeDownloader_upd" state="ready" command="C:\Users\аа\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe &quot;start.pyc&quot; ml3" workdir="C:\Users\аа\AppData\Roaming\YoutubeDownloader_upd" />
<item name="\CostripRu2" state="ready" command="C:\Users\аа\AppData\Roaming\CostripRu\python\pythonw.exe &quot;load.pyc&quot; app" workdir="C:\Users\аа\AppData\Roaming\CostripRu" />
<item name="\MailRuUpdater" state="ready" command="C:\Users\аа\AppData\Local\Mail.Ru\MailRuUpdater.exe --check" />


По файлам вот вся тусовка в темпе сидит:

<file path="C:\Users\аа\AppData\Local\Temp\w02fcee1e3c97.exe" size="7125592" links="1" ctime="30.08.2019 08:18:45.638" atime="30.08.2019 08:18:45.638" wtime="30.08.2019 08:18:45.643" buildtime="16.12.2018 01:24:27.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="21d1b3659cd864d0df373d951399ff41a3cbd791" sha256="3e5f2b1e5d976531f61fd168035c1690886f9453a8842cfb0b3768b0e06e1448" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
</file>
<file path="C:\Users\аа\AppData\Local\Temp\w3f84f4bbd1ab.exe" size="5768211" links="1" ctime="30.08.2019 08:26:03.649" atime="30.08.2019 08:26:03.649" wtime="30.08.2019 08:26:03.649" buildtime="13.07.2019 19:56:14.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="a4b29de7804a34fb3d2938f321f4d5f2156a98a7" sha256="f3141f62ef24361ee8a257fe58c41b35ce71f00bd71d2dd5518072dd82aa2dcc" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
</file>
<file path="C:\Users\аа\AppData\Local\Temp\w461a2461cd18.exe" size="533489" links="1" ctime="30.08.2019 08:17:17.503" atime="30.08.2019 08:17:17.503" wtime="30.08.2019 08:17:17.503" buildtime="26.09.2018 22:19:02.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="798f0d2bc97a39686eb7abddabb72344d6720ddc" sha256="68f89500146f070e36fe8cd0ec87a0c6f303eb75e491a7ec48a352fdd047c781" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
</file>
<file path="C:\Users\аа\AppData\Local\Temp\wb7a48c043472.exe" size="5768211" links="1" ctime="30.08.2019 08:17:37.141" atime="30.08.2019 08:17:37.141" wtime="30.08.2019 08:17:37.141" buildtime="13.07.2019 19:56:14.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="a4b29de7804a34fb3d2938f321f4d5f2156a98a7" sha256="f3141f62ef24361ee8a257fe58c41b35ce71f00bd71d2dd5518072dd82aa2dcc" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
</file>
<file path="C:\users\аа\appdata\local\temp\we2d5d923e3a0.exe" size="1220280" links="1" ctime="30.08.2019 08:18:36.695" atime="30.08.2019 08:18:36.695" wtime="30.08.2019 08:18:36.696" buildtime="25.07.2016 03:55:51.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="b9de6fd06e4d32e5ed40a7a5ff64442d907cd497" sha256="4463b5b44b0e3f61c507945b39a6522f8d92f308d24e6e35ee1532c9e7a0977b" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
<verinfo company="PotatoTeam" descr="qalogdsle" origname="cpuz" version="" product_name="MainProd" product_version="" file_version_num="14073847622074369" product_version_num="14073847622074369" />
</file>

Эти файлы в архив и на vms.drweb.com, номер тикета сюда.

Тоже вот какой-то подозрительный, некоторые вендоры даже считают адварью. Закиньте туда же.

<file path="C:\Users\аа\AppData\Roaming\CpuzApp5\CpuzApp.exe" size="139264" links="1" ctime="29.08.2019 13:41:20.000" atime="30.08.2019 08:18:37.534" wtime="29.08.2019 13:41:20.000" buildtime="29.08.2019 13:41:21.000">
<attrib archive="true" not_content_indexed="true" value="2020" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="f14eb54e3c2ab857ed8f545195b1b56707c819c6" sha256="60f40c22c8d1e21e8953fcd1785efe61063a4d6c1c436d6cdd4d2c50b57123f2" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
<verinfo company="" descr="" origname="Bniet.exe" version="" product_name="Bedzawuh Uqzaaljie" product_version="" file_version_num="1688858465426210" product_version_num="1688858465426210" />
</file>

Опять alieapp. Возможно, это майнер. Тоже на анализ.

<file path="C:\users\аа\appdata\local\alieapp\application\alieapp.exe" size="2669810" links="1" ctime="30.08.2019 08:17:34.855" atime="30.08.2019 08:17:34.855" wtime="17.07.2018 13:07:07.638" buildtime="05.07.2018 21:11:11.000">
<attrib archive="true" value="20" security="O:BAG:S-1-5-21-3158864583-982637440-529340962-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-3158864583-982637440-529340962-1002)" />
<hash sha1="f66402b13d8cfa1024289b16db82c29cdeaa86ee" sha256="c105fef7997716fcdb3391503e6e36865657bb5975972fb0db0e2fea0b1e74f0" />
<arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
<verinfo company="Alieapp Software" descr="Alieapp" origname="Alieapp.exe" version="" product_name="Alieapp" product_version="" file_version_num="281509336907784" product_version_num="281509336907784" />
</file>

С ним и связанная таска имеется

<item name="\AlieappAutorun" state="ready" command="C:\Users\аа\AppData\Local\Alieapp\Application\alieapp.exe --autorun" />

Сообщение было изменено RomaNNN: 31 Август 2019 - 03:01

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 31 Август 2019 - 03:07

Знаете, что это?

По клику открывается окно какого-то браузера с Aliexpress.

Можно ли создать скрипт, который бы сам заархивировал бы нужные файлы?



#5 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 31 Август 2019 - 03:25

номер тикета сюда.

#8830370



#6 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 31 Август 2019 - 08:54

Закиньте туда же.

#8830372

Выбирать нужно "подозрение на вирус"?

Тоже на анализ.

#8830632



#7 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 01 Сентябрь 2019 - 11:18

Троев из тикета добавили. Приложения Alieapp и cpuzapp удалите через "установка и удаление программ". Почистите из хрома лишние расширения.

 

Пришлите архив папки "C:\Users\аа\AppData\Roaming\YoutubeDownloader".



#8 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 01 Сентябрь 2019 - 21:15

Пришлите архив папки

 #8832530



#9 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 01 Сентябрь 2019 - 22:40

Почистите из хрома лишние расширения.

Хрома нет, установлен Firefox.



#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 02 Сентябрь 2019 - 13:19

Добавил и его. Можете удалять эту папку.



#11 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Сентябрь 2019 - 17:48

Теперь нужно заново запустить Cureit? А то окна самопроизвольно открываются.



#12 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 03 Сентябрь 2019 - 18:34

Smart_D15, скачать свежак и просканить


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#13 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Сентябрь 2019 - 18:43

Можете удалять эту папку.

Попробовал, не удаляется. Может, надо какой-то процесс прибить?



#14 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 03 Сентябрь 2019 - 19:57

Можете удалять эту папку.

Попробовал, не удаляется. Может, надо какой-то процесс прибить?

Может. А с каким диагнозом не удаляется-то?
Почтовый сервер Eserv тоже работает с Dr.Web

#15 eco

eco

    Member

  • Posters
  • 139 Сообщений:

Отправлено 03 Сентябрь 2019 - 20:17

А с каким диагнозом не удаляется-то?

Скорее всего файл занят процессом, или открыт другой программой.



#16 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Сентябрь 2019 - 20:42

с каким диагнозом не удаляется-то?

Пишет, что открыт в другой программе.

Есть и прямые ярлыки:

Адварные таски:

С этим что-то делать надо?


Сообщение было изменено Smart_D15: 03 Сентябрь 2019 - 20:44


#17 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 03 Сентябрь 2019 - 21:29

с каким диагнозом не удаляется-то?

Пишет, что открыт в другой программе.
 
 

Есть и прямые ярлыки:

 

Адварные таски:

С этим что-то делать надо?

Побивать. Если папка и после этого чем-то открыта, делать новые логи.
Почтовый сервер Eserv тоже работает с Dr.Web

#18 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Сентябрь 2019 - 22:05

Побивать.

 

Как это применить к 

 

Есть и прямые ярлыки:

<item target="C:\Windows\System32\rundll32.exe" arg="url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;"data="C:\Windows\System32\rundll32.exe url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;" threat="SHORTCUT:SUSPICIOUS.Downloader" arkstatus="unknown_malware" path="C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" />
<item target="C:\Windows\System32\rundll32.exe" arg="url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;"data="C:\Windows\System32\rundll32.exe url,FileProtocolHandler &quot;http://www.mail.ru/cnt/20775012?gp=811550&quot;" threat="SHORTCUT:SUSPICIOUS.Downloader" arkstatus="unknown_malware" path="C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk" />
Адварные таски:

<item name="\YoutubeDownloader" state="ready" command="C:\Users\аа\AppData\Roaming\YoutubeDownloader\python\pythonw.exe &quot;start.pyc&quot; ml3" workdir="C:\Users\аа\AppData\Roaming\YoutubeDownloader" />
<item name="\CostripRu" state="ready" command="C:\Users\аа\AppData\Roaming\CostripRu\python\pythonw.exe &quot;load.pyc&quot; ml2" workdir="C:\Users\аа\AppData\Roaming\CostripRu" />
<item name="\YoutubeDownloader_upd" state="ready" command="C:\Users\аа\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe &quot;start.pyc&quot; ml3" workdir="C:\Users\аа\AppData\Roaming\YoutubeDownloader_upd" />
<item name="\CostripRu2" state="ready" command="C:\Users\аа\AppData\Roaming\CostripRu\python\pythonw.exe &quot;load.pyc&quot; app" workdir="C:\Users\аа\AppData\Roaming\CostripRu" />
<item name="\MailRuUpdater" state="ready" command="C:\Users\аа\AppData\Local\Mail.Ru\MailRuUpdater.exe --check" />

? Первый раз, наверное, вижу такую рекомендацию.



#19 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 03 Сентябрь 2019 - 22:30

Smart_D15, в планировщике заданий смотрите задания:

 

"YoutubeDownloader"
"CostripRu" state="ready"
"YoutubeDownloader_upd"
"CostripRu2"
"MailRuUpdater"

 

А левые ссылки смотрите в свойствах ярлыков:

 

C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

C:\Users\аа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#20 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 11 Январь 2020 - 21:35

Отправил #9057206, на который ругается KVRT, правда, три одинаковых файла, не сразу заметил. Интересно, раньше он вами детектился? Система та же, на которой ранее было заражение.


Сообщение было изменено Smart_D15: 11 Январь 2020 - 21:36



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых