4 ответов в этой теме

[Alf74]

Добрый день!

При проверке утилитой Dr.Web CureIt! обнаружена угроза Tool.VulnDriver.6 в файле  C:\Windows\gdrv.sys.
После лечения путём перемещения (далее требуется перезагрузка) система перестала грузиться. Пришлось восстанавливать. Интернет не дал ответа, что за вирус, в базе Dr.Web тоже не нашёл, на форме тоже не нашёл. Единственно, нашёл в инете вот это
https://answers.microsoft.com/ru-ru/windows/forum/all/%D0%B2%D0%B0%D0%B6%D0%B5%D0%BD-%D0%BB%D0%B8/fadc164e-94d9-45a8-99d1-29356547f562

Есть два вопроса:
1) есть ли действительно такой вирус и что от делает? Откуда мог появиться, если раньше не обнаруживался, и вроде ничего бесконтрольно не устанавливалось?
2) почему лечение приводить к неработоспособности системы? После восстановления появляется тот же файл и тот же вирус. Причём попытка удалить этот файл вручную приводит либо к самовосстановлению файла, либо система начинает ругаться, что не может выполнить программу... (точное сообщение уже не воспроизведу, а экспериментировать уже не очень хочется...).
На всякий случай прикладываю "заражённый" файл.


Есть какая-то информация или идеи, что с этим делать?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Dmitry_rus]

https://habr.com/ru/news/487642/

https://forum.gigabyte.ru/viewtopic.php?t=45560&start=25

Без логов по правилам дальнейшие разговоры бессмысленны. Телепаты в отпусках.

[Alf74]

Спасибо за ответ и ссылки.

От лога антивируса толку мало, как я понимаю. Подноготную системы в открытый доступ как-то не хочется выкладывать...

[Dmitry_rus]

Sysinfo не собирает какой-то приватной информации. Кстати, логи FRST тоже неплохо бы приложить, для полноты картины.

Что касается "виpyса" - смотрите внимательно, что вам пишет антивирус. Это не виpyс/троян, а Tool, т.е. инструмент. Который может использоваться по-разному. Как во благо, так и во зло.