9 ответов в этой теме

[tr3ath]

Добрый день!

 

Недавно стал замечать странное поведение компьютера, при открытии диспетчера задач непродолжительное время видно, что процесс проводника нагружает процессор примерно на 50%, видны какие-то странные процессы, при открытии всяких антивирусников, а тем более dr web закрываются сайты или не даются открыть вовсе, появились какие-то пользователи помимо меня. DrWeb SysInfo просканировал компьютер, файл прикрепил к запросу. Буду очень благодарен за помощь!

 

Ссылка на яндекс-диск с архивом https://disk.yandex.ru/d/bOpPLWZx-o9ymw

Прикрепленные файлы:

•  cureit.log   12,21Мб   1 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[tr3ath]

Все файлы, прикрепил заранее: логи и зип файл после сканирования curelt

Сообщение было изменено tr3ath: 20 Май 2023 - 14:25

[Alexander007]

1. Запускаем редактор реестра regedit

2. Переходим в ветвь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\

3. В этом разделе будет список нумерованных параметров, каждый из которых запрещает запуск какой-либо программы. Удаляем всё.

Это необходимый первый этап.

Далее.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[tr3ath]

Реест почистил, отсканировал, вот текстовые файлы

Прикрепленные файлы:

•  FRST.txt   41,56К   7 Скачано раз
•  Addition.txt   62,02К   6 Скачано раз

[tr3ath]

Сегодня после перезагрузки компьютера опять что-то случилось, вирус никуда не делся, если вчера ещё после некоторых процедур выше я мог заходить на сайты, качать утилиты dr web, KVRT, то сегодня беда повторилась. В группах и пользователях опять появились какие-то группы и лица, спасает только безопасный режим. Очевидные папки с вирусом удалить не могу т.к нужно запрашивать разрешение у "администраторов" на своём же компьютере, океееей....

Прикрепленные файлы:

•  изображение_2023-05-21_101121813.png   419,01К   0 Скачано раз

[tr3ath]

В редакторе реестра regedit перешёл в ветвь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\ там пусто, но при этом сайты с антивирусниками опять начинают закрываться, проверил hosts, там все как надо одни решётки

[tr3ath]

Вообще если штудировать папки в ProgramData, когда у меня доступ есть к ней только через безопасный режим сеть, то сразу видно вредителей, видно что они были созданы вчера в то время как я занёс вирус, но удалить или переместить их никак нельзя, т.к нужно разрешение администратора, что делать не знаю. Вообще есть ли смысл заново устанавливать винду с чистого листа через флэшку? 

[AndreyKa]

Странный наплыв случаев с "Ошибка: 2147614719"

 

В начале файла events.xml:

Нет доступа к файлу C:\Program Files\WindowsApps\microsoft.windowsappruntime.1.2_2000.802.31.0_x64__8wekyb3d8bbwe\Microsoft.UI.Xaml.Controls.dll
...
Программа UOtRvjEP5Rf56Y.exe будет закрыта из-за этой ошибки
...
Имя сбойного модуля: yu37DRzjaE.dll, версия: 12.6.22.2221

Из файла files.xml узнаём что это:

descr="Dr.Web Anti-rootkit API"
origname="dwarkapi"
version="12.6.22.202302221"

Возникает вопрос почему антируткит роняет программу CureIt не получив доступ к какому-то файлику?

[Ivan Korolev]

просканируйте систему утилитой: https://drw.sh/hqzafg, после этого понаблюдайте осталась ли проблема.