27 ответов в этой теме

[Seregaz]

Процессор постоянно нагружен не менее, чем на 50%. В диспетчере задач не отображается процесс, нагружающий систему. Штатный майкрософтовский антивирус при запуске обнаружает и тут же помещает в карантин Trojan:Win32/Ceprolad.A. При этом в исключения ему добавляются несколько разделов, при удалении из исключений - восстанавливаются опять. В планировщике восстанавливается таск csrss.exe при каждом запуске. Cureit при проверке обнаруживает несколько троянов, но после перезагрузки они восстанавливаются. Собсна, в appdata постоянно восстанавливаются файлы cloudnet.exe и wup.exe. Ссылка на логи https://drive.google.com/file/d/1GVa2FstkC6MOfu6h3lCS97ea28o1far2/view?usp=sharing

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Nenya Amo]

Заахивируйте следующие папки:

 

C:\Users\Seregaz\AppData\Local\Temp\csrss

C:\Users\Seregaz\AppData\Local\Temp\wup

C:\Users\Seregaz\AppData\Roaming\Epicnet inc

C:\Windows\rss

C:\Program Files\AMD\CNext

 

И отправьте их в вирлаб https://vms.drweb.ru/sendvirus

[Seregaz]

Заахивируйте следующие папки:

 

C:\Users\Seregaz\AppData\Local\Temp\csrss

C:\Users\Seregaz\AppData\Local\Temp\wup

C:\Users\Seregaz\AppData\Roaming\Epicnet inc

C:\Windows\rss

C:\Program Files\AMD\CNext

 

И отправьте их в вирлаб https://vms.drweb.ru/sendvirus

Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и  C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет. Архив с остальными папками не прикрепляется к письму вирлаб. Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодиске

[AndreyKa]

отправил в вирлаб ссылку на архив на гуглодиске

номер, что на почту в ответ пришёл тут напишите.

[Seregaz]

 

отправил в вирлаб ссылку на архив на гуглодиске

номер, что на почту в ответ пришёл тут напишите.

 

drweb.com #8425591

[Nenya Amo]

Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и  C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет.

Включите не только отображать скрытые файлы, но и скрытые системные файлы, это там же рядом, и посмотрите ещё раз папки, они могут быть созданы после перезагрузки системы например.

Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодиске

Наверное большой объём архива получился.

[Seregaz]

 

Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и  C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет.

Включите не только отображать скрытые файлы, но и скрытые системные файлы, это там же рядом, и посмотрите ещё раз папки, они могут быть созданы после перезагрузки системы например.

 

 

Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодиске

Наверное большой объём архива получился.

 

Кое-как успел отловить их и заархивировать. Отправил в вирлаб. [drweb.com #8426178].

[Seregaz]

Что имеем%: вирлаб ответил, что cureit обновлен, но имеем все примерно то же самое. Вирусы восстанавливаются после лечения и перезагрузки, создают задачи в планировщике, запускают майнер. Сейчас проверю все еще раз и пришлю свежие логи. 

[Seregaz]

Еще заметил, что периодически сами по себе закрываются некоторые окна - планировщик, например. И хайджек тоже, причем, hijack.exe еще и удалился при этом. В планировщике создается не только задача crss, но еще и MRT. И cureit тоже через раз находит MRT.exe в разных местах, но при попытке лечить - ошибка лечения

[Seregaz]

логи. если от sysinfo надо - тоже прикреплю

Прикрепленные файлы:

•  cureit.log   12,51Мб   2 Скачано раз
•  hijackthis.log   9,3К   6 Скачано раз

[usverg]

Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?

[Seregaz]

Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?

Сейчас попробую

[Seregaz]

Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?

вопрос только в том, как?

[usverg]

вопрос только в том, как?

через администрирование планировщик не отключается?

[Seregaz]

 

вопрос только в том, как?

через администрирование планировщик не отключается?

 

Если вы имеете в виду администрирование/службы, то нет. 

[usverg]

сли вы имеете в виду администрирование/службы, то нет.

Ок. Если не разберётесь с загрузкой LiveUSB, расскажу в личке как отключить.

Сообщение было изменено usverg: 30 Октябрь 2018 - 18:27

[usverg]

Seregaz, если коротко: то можете попробовать через regedit изменить значение "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" Start с двойки на четвёрку и перезагрузиться (подробности в личке).

Сообщение было изменено usverg: 30 Октябрь 2018 - 19:15

[Seregaz]

 

сли вы имеете в виду администрирование/службы, то нет.

Ок. Если не разберётесь с загрузкой LiveUSB, расскажу в личке как отключить.

 

dr web liveusb отказался загружаться. Что в графическом, что в консольном моде - зависает на загрузке raid6_pq и все. Сейчас еще поколдую, потом буду пытаться через реестр отключать планировщик

[Seregaz]

Итак, usblive не заработал, впрочем, как и утилита от касперского. Отключил планировщик через реестр, как посоветовали выше. При быстрой проверке cureit'ом все время находятся три файла(смотри лог). При запуске все также обнаруживается вирус(смотри скрин). Кстати говоря, проверка cureit'ом не обнаруживает процесс, который грузит процессор. То есть, проверил-полечил, hwmonitor показывает 50% нагрузки, хотя ничего более не запущено. Диспетчер задач показывает 50% - бездействие системы, у остального по нулям, либо пару % у пары процессов(смотри скрин2). Я в замешательстве. И в печали. Скрин не крепится, вот ссыль https://drive.google.com/open?id=1EtDDO7rj_5EHOMhH740wqmsSCr3tzrNF

Прикрепленные файлы:

•  cureit.log   12,52Мб   5 Скачано раз
•  screen2.jpg   373,48К   1 Скачано раз