Перейти к содержимому


Фото
- - - - -

Подозрение на вирус майнер


  • Закрыто Тема закрыта
23 ответов в этой теме

#1 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 07 Апрель 2018 - 15:09

Добрый день, уважаемые профессионалы! Вы мне очень помогли с моим компом, сейчас добрались руки помочь племяннику. Комп достаточно новый, стал ужасно тормозить при чем неожиданно, включается на всю мощность вентилятор и прочие радости. Сама доступа к компу не имею (в др городе), но вроде бы ребенок сделал все что я просила. В процессе сканирования доктором вебом нашелся 1 вирус. Что делает ребенок на компе всем понятно)))

Я очень рассчитываю на вашу помощь, ребенку скину ссылку на тему, будет читать вдумчиво.

 

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 608 Сообщений:

Отправлено 07 Апрель 2018 - 15:09

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 755 Сообщений:

Отправлено 07 Апрель 2018 - 16:04

Тулзу удалить (обезвредить). Проверить загрузку ЦП в дисп. задач. Если она высокая - выяснить, какой процесс нагружает ЦП.



#4 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 07 Апрель 2018 - 17:27

обезвредили. гоорит в диспетчере задач загрузки большой нет. попрошу чтобы в момент когда это происходит сделал. хотя подозреваю, что все зависнет



#5 fetch

fetch

    Member

  • Posters
  • 323 Сообщений:

Отправлено 08 Апрель 2018 - 19:13

Соберите отчет этой версией: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

#6 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 755 Сообщений:

Отправлено 08 Апрель 2018 - 20:08

2Staffs & Mods

Может быть, имеет смысл в Правилах давать ссылку на тестовый sysinfo? Чтобы каждый раз не просить пользователей собирать отчет заново с помощью новой тулзы?



#7 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 837 Сообщений:

Отправлено 09 Апрель 2018 - 07:49

2Staffs & Mods

Может быть, имеет смысл в Правилах давать ссылку на тестовый sysinfo? Чтобы каждый раз не просить пользователей собирать отчет заново с помощью новой тулзы?

 

Я только за обеими руками :)



#8 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 837 Сообщений:

Отправлено 09 Апрель 2018 - 07:56

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework

Сообщение было изменено Ivan Korolev: 09 Апрель 2018 - 07:57


#9 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 09 Апрель 2018 - 13:29

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework

 

 

Иван скажите плз содержимое это что значит? приложить через форму каждый файл?


Соберите отчет этой версией: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

а я его сразу приложила в первом посте



#10 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 09 Апрель 2018 - 13:32

нашла как удалять службы))))


Сообщение было изменено TanyaS: 09 Апрель 2018 - 13:36


#11 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 575 Сообщений:

Отправлено 09 Апрель 2018 - 13:59

скажите плз содержимое это что значит?
В архив эти папки запакуйте и отправьте.

#12 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 837 Сообщений:

Отправлено 09 Апрель 2018 - 14:22

 

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework

 

 

Иван скажите плз содержимое это что значит? приложить через форму каждый файл?


Соберите отчет этой версией: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

а я его сразу приложила в первом посте

 

 

Добавьте в архив указанные папки со всеми файлами, что в них находятся.

 

В первом сообщении у вас два отчета, оба созданы старой версией sysinfo. Поэтому я и прошу собрать его версией, которую вы можете скачать по указанной ссылке.



#13 brisyo

brisyo

    Advanced Member

  • Posters
  • 524 Сообщений:

Отправлено 10 Апрель 2018 - 23:07

нашла как удалять службы))))

модель роутера имеется?



#14 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 11 Апрель 2018 - 14:45

 

 

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework

 

 

Иван скажите плз содержимое это что значит? приложить через форму каждый файл?


Соберите отчет этой версией: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

а я его сразу приложила в первом посте

 

 

Добавьте в архив указанные папки со всеми файлами, что в них находятся.

 

В первом сообщении у вас два отчета, оба созданы старой версией sysinfo. Поэтому я и прошу собрать его версией, которую вы можете скачать по указанной ссылке.

 

Отчет прилагаю

https://files.fm/u/nmsq8eba

 

В службах не нашли указанные службы, но удалили через командную строку.

Также в упор не видим на диске с те папки, содержимое которых нужно прислать. Мы тупим?

Прикрепленные файлы:



#15 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 11 Апрель 2018 - 14:47

роутер netis wf2419e



#16 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 837 Сообщений:

Отправлено 11 Апрель 2018 - 15:03

>Также в упор не видим на диске с те папки, содержимое которых нужно прислать. Мы тупим?

 

Включите отображение скрытых и системных файлов.



#17 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 11 Апрель 2018 - 15:13

спасибо, простите чайников) ребенок вернется сделаем



#18 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 12 Апрель 2018 - 14:26

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework
 
 

Иван, номер обращения [drweb.com # 8142750] 


Сообщение было изменено TanyaS: 12 Апрель 2018 - 14:26


#19 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 837 Сообщений:

Отправлено 13 Апрель 2018 - 07:20

 

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework
 
 

Иван, номер обращения [drweb.com # 8142750] 

 

 

Чисто, но каталоги удалите. Что с изначальной проблемой? Лучше стало?


Сообщение было изменено Ivan Korolev: 13 Апрель 2018 - 07:20


#20 TanyaS

TanyaS

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 13 Апрель 2018 - 10:46

 

 

 

Пришлите в вирлаб (vms.drweb.com/sendvirus/) содержимое следующих папок:

 

c:\programdata\directx11b\
c:\programdata\framework\
c:\programdata\windowssql\
C:\users\user\appdata\roaming\system\
 
Как получите номер тикета, укажите его здесь.
 
Удалите следующие службы:
 
MinerGate
DirectX11b
Framework
 
 

Иван, номер обращения [drweb.com # 8142750] 

 

 

Чисто, но каталоги удалите. Что с изначальной проблемой? Лучше стало?

 

В целом гораздо лучше и при запуске и выключении и во время игр, еще и установил классический скайп, а то убогий для виндоус 10 очень много цп загружал.

Спасибо вам большое, и подскажите пожалуйста, правильно ли я нагуглила, что каталоги нужно удалять черес командную строку от имени администратора и она должна выглядеть так в случае с нашими папками?

rd/s/q c:\programdata\directx11b




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых