Здравствуйте! Такая проблема, какая-то зараза отключила Др.Веб, частично удалила из его папки файлы, удалить и переустановить антивирус не даёт. Например при попытке переустановить его, выходит окно, мол найдена старая версия, при нажатии кнопки "Обновить", окно закрывается на секунду и открывается снова, и так бесконечно. После сканом утилитой CureIt, она нашла кучу троянов, всё занесла в карантин, а вот файл "Windows Driver.exe" (Tool.BtcMine.970), всегда восстанавливается. Естественно после лечения cureit-ом проблема сохраняется и переустановить антивирус нет возможности. Виндовс 10 так же обновлён. Можно чем-то помочь?
Вирус Tool.BtcMine.970
#1
Отправлено 16 Октябрь 2017 - 18:52
#2
Отправлено 16 Октябрь 2017 - 18:52
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 16 Октябрь 2017 - 19:02
Не стоит ли у вас специфичного софта, например для складского учета?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#4
Отправлено 16 Октябрь 2017 - 19:44
Ничего такого нет.
#5
Отправлено 16 Октябрь 2017 - 20:32
Запакуйте в архив файлы:
C:\users\grey\appdata\local\yc\application\yc.exe C:\users\grey\appdata\roaming\currencyconvertor\ml.py C:\users\grey\appdata\roaming\iahlbdgieoailddgbnomkmfapoppfena\ml.py C:\users\grey\appdata\roaming\setupsk\ml.py C:\users\grey\appdata\roaming\setupsk_upd\ml.py
и загрузите его через форму https://vms.drweb.ru/sendvirus/как подозрительные. Сюда напишите номер тикета, который пришлют на почту.
#6
Отправлено 16 Октябрь 2017 - 20:33
Fix в Хайджеке:
O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\ZfJRwqLPhIE\kJeYPT4o.dll
O4 - HKCU\..\Run: [amigo] C:\Users\Grey\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
#7
Отправлено 16 Октябрь 2017 - 21:09
переустановить антивирус нет возможности
Утилиту удаления Dr.Web https://free.drweb.ru/aid_admin Вам в помощь.
мой девиз - служение злу, как у котика..
#8
Отправлено 16 Октябрь 2017 - 21:10
[drweb.com #7886380]
файла ml.py не было, скорей всего из-за того что в "Программы и компоненты" я поудалял всякий хлам, типа mai.ru, yandex и прочее, после перезагрузил комп, но проблема осталась.
PjDfytumxbayONn.job - удалил
#9
Отправлено 16 Октябрь 2017 - 21:16
Ещё периодически запускается браузер с какой-нибудь ссылкой.
#10
Отправлено 16 Октябрь 2017 - 21:18
периодически запускается браузер с какой-нибудь ссылкой
При входе в систему или и во время работы ?
Пофиксили то что ниже?:
O4 - HKCU\..\Run: [xtjmyhxiga] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016"
мой девиз - служение злу, как у котика..
#11
Отправлено 16 Октябрь 2017 - 21:52
Во время работы. Ссылку удалил.
#12
Отправлено 17 Октябрь 2017 - 09:59
Во время работы
Откройте планировщик заданий - Вид - Отобразить скрытые задачи - откройте "Библиотека планировщика заданий" - разверните окно планировщика заданий на весь экран - сделайте снимок экрана и прикрепите его.
Ссылку удалил
Ссылку можно было и не удалять, главное сам ключ "[xtjmyhxiga]" удалить из реестра.
мой девиз - служение злу, как у котика..
#13
Отправлено 17 Октябрь 2017 - 18:49
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016
O4 - HKCU\..\Run: [evcokebnzr] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F1D01E40B09C6E931AA5654FF90E729B&utm_d=20171016"
Я это удалил, но их вчера не было. Ещё я сделал скриншот папки антивируса, что-то странно как-то там.
Прикрепленные файлы:
#14
Отправлено 18 Октябрь 2017 - 00:27
Скриншот планировщика заданий малоинформативен. Лучше нажмите на вкладку "Действия" и посмотрите, что именно выполняется при запуске каждой задачи.
#15
Отправлено 18 Октябрь 2017 - 08:09
посмотрите, что именно выполняется при запуске каждой задачиПоудалял от туда всякую непонятную хрень.
#16
Отправлено 18 Октябрь 2017 - 08:28
У вас DrWeb почти пол-года не работает. Видимо, был сбой во время обновления.
Проверьте настройки DNS сервера в свойствах подключения к сети. Если там не то, что вы прописали введите адрес DNS сервера провайдера или 8.8.8.8
Утилиту удаления Dr.Web запускали?
DrWeb установили?
#17
Отправлено 18 Октябрь 2017 - 09:37
Действительно в настройках DNS были прописаны чужие адреса. Утилитой удалил старый др.веб, установил новый. Всё поставилось, сейчас сканирует комп, файл Windowws Driver.exe уже ломится в сеть, запретил ему все сетевые подключения пока. В целом основная проблема решена, думаю можно закрыть тему. Всем большое спасибо за помощь!
#18
Отправлено 18 Октябрь 2017 - 10:45
файл Windowws Driver.exe уже ломится в сеть, запретил ему все сетевые подключения пока.Если сами не выведите его, сделайте новый лог DrWeb SysInfo. При работающем DrWeb можно будет вычислить, кто восстанавливает гада.
#19
Отправлено 18 Октябрь 2017 - 20:11
Вот ведь зараза, после лечения и перезагрузки, Windows Driver.exe всё равно восстанавливается.
Прикрепленные файлы:
#20
Отправлено 18 Октябрь 2017 - 20:21
BionicmanDW, это:
C:\ProgramData\Framework\Windows Driver.exe - is hacktool program Tool.BtcMine.970
мой девиз - служение злу, как у котика..
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых