30 ответов в этой теме

[BionicmanDW]

Здравствуйте! Такая проблема, какая-то зараза отключила Др.Веб, частично удалила из его папки файлы, удалить и переустановить антивирус не даёт. Например при попытке переустановить его, выходит окно, мол найдена старая версия, при нажатии кнопки "Обновить", окно закрывается на секунду и открывается снова, и так бесконечно. После сканом утилитой CureIt, она нашла кучу троянов, всё занесла в карантин, а вот файл "Windows Driver.exe" (Tool.BtcMine.970), всегда восстанавливается. Естественно после лечения cureit-ом проблема сохраняется и переустановить антивирус нет возможности. Виндовс 10 так же обновлён. Можно чем-то помочь?

Прикрепленные файлы:

•  cureit.log   11,87Мб   2 Скачано раз
•  DESKTOP-P97F6B2_Grey_161017_154024.zip   18,98Мб   4 Скачано раз
•  hijackthis.log   15,22К   5 Скачано раз
•  123454.jpg   72,31К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[v.martyanov]

Не стоит ли у вас специфичного софта, например для складского учета?

[BionicmanDW]

Ничего такого нет.

[AndreyKa]

Запакуйте в архив файлы:

C:\users\grey\appdata\local\yc\application\yc.exe
C:\users\grey\appdata\roaming\currencyconvertor\ml.py
C:\users\grey\appdata\roaming\iahlbdgieoailddgbnomkmfapoppfena\ml.py
C:\users\grey\appdata\roaming\setupsk\ml.py
C:\users\grey\appdata\roaming\setupsk_upd\ml.py

и загрузите его через форму https://vms.drweb.ru/sendvirus/как подозрительные. Сюда напишите номер тикета, который пришлют на почту.

[Dmitry Shutov]

Fix в Хайджеке:

 

 

O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\ZfJRwqLPhIE\kJeYPT4o.dll

O4 - HKCU\..\Run: [amigo] C:\Users\Grey\AppData\Local\Amigo\Application\amigo.exe --no-startup-window

O4 - HKCU\..\Run: [MailRuUpdater] C:\Users\Grey\AppData\Local\Mail.Ru\MailRuUpdater.exe

O4 - HKCU\..\Run: [mrupdsrv] "C:\Users\Grey\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u

O4 - HKCU\..\Run: [setupsk_upd] "C:\Users\Grey\AppData\Roaming\SETUPS~1\python\pythonw.exe" "C:\Users\Grey\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd"

O4 - HKCU\..\Run: [setupsk] "C:\Users\Grey\AppData\Roaming\setupsk\python\pythonw.exe" "C:\Users\Grey\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk"

O4 - HKCU\..\Run: [iahlbdgieoailddgbnomkmfapoppfena] "C:\Users\Grey\AppData\Roaming\iahlbdgieoailddgbnomkmfapoppfena\python\pythonw.exe" "C:\Users\Grey\AppData\Roaming\iahlbdgieoailddgbnomkmfapoppfena\ml.py" --APPNAME="iahlbdgieoailddgbnomkmfapoppfena"

O4 - HKCU\..\Run: [ycAutoLaunch_4944A10E12E42AAEA3538911C9C71281] "C:\Users\Grey\AppData\Local\yc\Application\yc.exe" /prefetch:5

O4 - HKCU\..\Run: [CurrencyConvertor] "C:\Users\Grey\AppData\Roaming\CurrencyConvertor\python\pythonw.exe" "C:\Users\Grey\AppData\Roaming\CurrencyConvertor\ml.py" --APPNAME="CurrencyConvertor"

O4 - HKCU\..\Run: [xtjmyhxiga] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016"

O4 - Global Startup: Zaxar Games Browser.lnk = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe

 

O23 - Service: NetFramework Service (DirectX11b) - Unknown owner - C:\ProgramData\DirectX11b\System.exe

 

O23 - Service: Windows Driver Framework (Framework) - Unknown owner - C:\ProgramData\WindowsSQL\System.exe

 

O23 - Service: Windows Driver Foundation Framework (MinerGate) - Unknown owner - C:\ProgramData\Framework\System.exe

 

 

Удалить PjDfytumxbayONn.job  -  живет тут c:\Windows\Tasks\

[Nenya Amo]

переустановить антивирус нет возможности

Утилиту удаления Dr.Web https://free.drweb.ru/aid_admin Вам в помощь.

[BionicmanDW]

[drweb.com #7886380]

 

файла ml.py не было, скорей всего из-за того что в "Программы и компоненты" я поудалял всякий хлам, типа mai.ru, yandex и прочее, после перезагрузил комп, но проблема осталась.

 

PjDfytumxbayONn.job - удалил

[BionicmanDW]

Ещё периодически запускается браузер с какой-нибудь ссылкой.

[Nenya Amo]

периодически запускается браузер с какой-нибудь ссылкой

При входе в систему или и во время работы ?

 

Пофиксили то что ниже?:

 

O4 - HKCU\..\Run: [xtjmyhxiga] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016"

[BionicmanDW]

Во время работы. Ссылку удалил.

[Nenya Amo]

Во время работы

Откройте планировщик заданий - Вид - Отобразить скрытые задачи - откройте "Библиотека планировщика заданий" - разверните окно планировщика заданий на весь экран - сделайте снимок экрана и прикрепите его.

Ссылку удалил

Ссылку можно было и не удалять, главное сам ключ "[xtjmyhxiga]" удалить из реестра.

[BionicmanDW]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016

 

O4 - HKCU\..\Run: [evcokebnzr] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016"

 

Я это удалил, но их вчера не было. Ещё я сделал скриншот папки антивируса, что-то странно как-то там.

Прикрепленные файлы:

•  2.jpg   193,37К   0 Скачано раз
•  1.jpg   175,69К   0 Скачано раз
•  3.jpg   73,25К   0 Скачано раз
•  hijackthis2.txt   10,21К   5 Скачано раз

[Dmitry_rus]

Скриншот планировщика заданий малоинформативен. Лучше нажмите на вкладку "Действия" и посмотрите, что именно выполняется при запуске каждой задачи.

[BionicmanDW]

посмотрите, что именно выполняется при запуске каждой задачи

Поудалял от туда всякую непонятную хрень.

[AndreyKa]

У вас DrWeb почти пол-года не работает. Видимо, был сбой во время обновления.

Проверьте настройки DNS сервера в свойствах подключения к сети. Если там не то, что вы прописали введите адрес DNS сервера провайдера или 8.8.8.8

Утилиту удаления Dr.Web запускали?

DrWeb установили?

[BionicmanDW]

Действительно в настройках DNS были прописаны чужие адреса. Утилитой удалил старый др.веб, установил новый. Всё поставилось, сейчас сканирует комп, файл Windowws Driver.exe уже ломится в сеть, запретил ему все сетевые подключения пока. В целом основная проблема решена, думаю можно закрыть тему. Всем большое спасибо за помощь!

[AndreyKa]

файл Windowws Driver.exe уже ломится в сеть, запретил ему все сетевые подключения пока.

Если сами не выведите его, сделайте новый лог DrWeb SysInfo. При работающем DrWeb можно будет вычислить, кто восстанавливает гада.

[BionicmanDW]

Вот ведь зараза, после лечения и перезагрузки, Windows Driver.exe всё равно восстанавливается.

Прикрепленные файлы:

•  DESKTOP-P97F6B2_Grey_181017_200351.zip   7,34Мб   9 Скачано раз

[Nenya Amo]

BionicmanDW, это:

C:\ProgramData\Framework\Windows Driver.exe - is hacktool program Tool.BtcMine.970