26 ответов в этой теме

[OberVanHeist]

Добрый день!

Сразу прошу прощения, пока нет возможности выложить логи. Кто-нибудь сталкивался с вирусом Trojan.BayankerMEM.1? Он детектится в оперативной памяти в процессе svchost.exe, обезвреживается CureIT'ом, но после перезагрузки опять появляется.

Компьютер древний, полная проверка будет идти около недели... Есть ли способ удалить его вручную?

Заранее спасибо!

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[mrbelyash]

логи по правилам

[Ko6Ra]

Кто-нибудь сталкивался с вирусом Trojan.BayankerMEM.1?

Я сталкивался!
 

Есть ли способ удалить его вручную?

Есть!

 

логи по правилам

+1

[ST13]

И у меня такая же фигня на компе завелась...

[HHH]

Сообщение №2.

И желательно в отдельную тему.

[ST13]

Вобщем всё как обычно... Удалил из автозагрузки, из запланированых задач строку, она там была лишней... Что за запись я не помню...  Проверил Dr.Web CureNet!, больше этот троян не находиться... 

Сообщение было изменено ST13: 06 Август 2013 - 01:49

[ST13]

Вобщем всё как обычно... Удалил из автозагрузки, из запланированых задач строку, она там была лишней... Что за запись я не помню...   Проверил Dr.Web CureNet!, больше этот троян не находиться... 

Думаю, что где то на винте она мотается )) 

[HHH]

А после перезегрузки?

[ST13]

После перезагрузки сканер ни чего не нашёл... На ночь оставил комп на полную проверку. После неё тоже ни чего не нашлось... Наверное умер вирусняк. По своей невнимательности удалил строку, а теперь думай гадай где он...

[mrbelyash]

ну то сделайте логи..будем гадать вместе

[ST13]

В логах я не мастер:-) ... Попробую сегодня вечером сделать, если время будет. Ночью не очень хочется хочется этим заниматься...

[mrbelyash]

Скачать,запустить 

http://people.drweb.com/people/yudin/dwsysinfo.exe 

 

Приложить сюда созданый zip

 

ЗюЫ

Интересно а лог КуреНета тулуза собирает?

[l.e.e.]

Интересно а лог КуреНета тулуза собирает?

AV-Desk же собирает и ES - она универсальна ©

[mrbelyash]

 

Интересно а лог КуреНета тулуза собирает?

AV-Desk же собирает и ES - она универсальна ©

 

давно отодвинута от ручек...хотелось бы поглядеть

что там да и как.

 

В новости была акция,но не дали.

Хз что там теперь

[l.e.e.]

давно отодвинута от ручек...хотелось бы поглядеть
что там да и как.
 
В новости была акция,но не дали.
Хз что там теперь

 

Да так же ,как и Антивирусная сеть в лиц. DrWeb, если не ошибаюсь. Но не сканирует, только доступ к настройкам.

Сообщение было изменено l.e.e.: 06 Август 2013 - 18:55

[ST13]

Скачать,запустить 
http://people.drweb.com/people/yudin/dwsysinfo.exe 
 
Приложить сюда созданый zip

 

Отправил файл в личные сообщения...

[mrbelyash]

Давайте наверное сюда 

https://support.drweb.com/support_wizard/?lng=ru

с этими же логами.

 

Там то ли инжект,то ли детект в памяти, а стандартные логи не предоставляют более полную картину (не видю я).

Опцию шарка выпилили.

[ST13]

Ни как не пойму куда отсылать (( Но кажется я разобрался откуда взялся вирус... 

 

Сегодня отыскал на диске С: папку systemhost, в ней, по показаниям сканера, и был объект 24FC2AE33C6.exe, угроза Trojan.PWS.SpySweep.1024. Скорее всего в этой же папке был и тот первый файл, который я удалил ранее... Появился он на машине после посещения страницы Альфа банка. Это я точно знаю... Оказывается у этого банка есть страница-копия... Вот на неё я и заскочил... Что бы найти эту страницу необходимо в строке поиска браузера набрать альфа банк, яндекс предложит страницу www.alfabank.ru- "Элтон Джон" неофициальный сайт. Эта страница абсолютно идентична с банковской... 

 

Для надёжности снесу систему

Сообщение было изменено ST13: 07 Август 2013 - 06:28

[lustik]

Я сталкивался с вирусом Trojan.BayankerMEM.1? Он детектится в оперативной памяти в процессе svchost.exe, обезвреживается CureIT'ом, но после перезагрузки опять появляется.

Прикрепленные файлы:

•  drweb32w.log   62,18К   3 Скачано раз
•  hijackthis.log   15,86К   4 Скачано раз
•  LUSTIK_lustik_070813_092016.zip   4,72Мб   3 Скачано раз