Схватил trojan bayankermem 1, прилагаю логи. Что делать?
Trojan bayankermem
#1
Отправлено 06 Декабрь 2013 - 09:39
#2
Отправлено 06 Декабрь 2013 - 09:39
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
Отправлено 06 Декабрь 2013 - 10:15
Пофиксить в HijackThis строку:
O4 - HKLM\..\Policies\Explorer\Run: [51419] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msmkaya.com
файл C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msmkaya.com проверить на https://www.virustotal.com/
#4
Отправлено 06 Декабрь 2013 - 10:28
строку в реестре исправлю, а самого файла этого нет уже давно, папки TEMP чищу регулярно.
#5
Отправлено 06 Декабрь 2013 - 13:57
%CommonProgramFiles%\microsoft shared\DWpx\sisidc32.aze - это оно, пришлите в вирлаб. Также необходимо прислать серийный номер тома. Запустить команду "dir C:\" и прислать что она выведет вместе с sisidc32.aze
#6
Отправлено 09 Декабрь 2013 - 09:57
jamis, вам же сказали, в вирлаб, а не на форум (на форуме опубликовать номер тикета, пришедший в ответ). На форум запрещено выкладывать вредоносное ПО.
#7
Отправлено 09 Декабрь 2013 - 10:18
jamis, это тикет техподдержки. Их также запрещено публиковать на форуме
Поскольку в таком случае кто угодно сможет зайти в ваш тикет и закрыть его либо написать там всё что угодно.
#8
Отправлено 09 Декабрь 2013 - 10:24
При отправке вируса Вы должны указать эл.ящик на который прийдет ответ примерно такого содержания.
Уважаемый "Max", Это сообщение автоматически сформировано в ответ на Ваш запрос относительно: "SUBMITTED SUSPICIOUS FILE". Детальная информация о Вашем запросе представлена ниже. В данный момент никаких действий от Вас не требуется. Вашему запросу назначен идентификатор [drweb.com #805913]. Номер тикета - [drweb.com #805913].
#9
Отправлено 11 Декабрь 2013 - 08:19
%CommonProgramFiles%\microsoft shared\DWpx\sisidc32.aze - это оно, пришлите в вирлаб. Также необходимо прислать серийный номер тома. Запустить команду "dir C:\" и прислать что она выведет вместе с sisidc32.aze
переименовал этот файл, все очистил, удалил все точки восстановления - пока сканер ничего не находит. Спасибо.
#10
Отправлено 11 Декабрь 2013 - 08:32
Файл-то на анализ отправили, как вас просили?
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых