24 ответов в этой теме

[Августина Мариэль]

Здравствуйте, уже все сделала как не надо но может вы сможете помочь.

 

Суть проблемы: Если выполнить поиск по всему компьютеру документа (docx, pdf, rtf, форматы электронных книг, чертежей) то для файлов которые давно не открывались, находился (до сдачи ноутбуков разным программистам с переустановкой Виндовс) один файл, а для тех, что недавно открывались находилось несколько файлов, а один раз даже папка с таким названием, дополненным цифрами.

 

Сейчас все файлы свежие и находятся: 1) в папке расположения файла (у меня это рабочий стол), размер файла один, 2) в папке пользователь > AppData\Roaming\Microsoft\Windows\Recent\, размер файла намного меньше но при его удалении удаляются оба этих файла, 3) обычно сдвоенные (не выделяются по одному, но не всегда) интернет ярлыки на файл, расположенные в папке истории (Histiry< Windows<Microsoft<Local<AppData<Имя<Users<Локальный диск). Из папки поиска ярлыки удалить нельзя, но если перейти в папку расположения, то можно. И просто историю тоже можно удалить.

 

Ещё. 1) в паке истории я вчера нашла интернет ярлык (там только такие файлы), с названием kglcheck, в интернете написано, что это вирус, но это только ярлык я его удалила, файл с таким же названием не находится. Обычно при удалении этих интернет ярлыков файлы остаются. 2) ставила вчера несколько проверочных программ, и система безопасности писала что-то, в результате установился антивирус AVG (кажется), нашел вирус (название не сохранилось, я удалила этот антивирус для установки Dr.Web)

 

Источник: незадолго до возникновения проблемы я 1) получала на почту письмо, что я, якобы посещала порно сайт и у них есть доступ ко всему на моем устройстве включая камеру, что они якобы что-то засняли, смонтировали и теперь разошлют всем моим контактам, требовали денег (не переводила на кошелек). 2) подключала старую электронную книгу, которая работает, но не сохраняет ни каких изменений, включая форматирование. 3) использовала флэшку на ноутбуке ВУЗа, а после этого на своем. 4) подключала телефон к своему ноутбуку, а после обнаружила, что в телефоне "размножаются" документы (судя по большому количеству и медленной скорости, они и до поключения к ноутбуку давно там размножались, и мне кажется что размножение происходило после получения сообщений в WhatsApp от некоторых пользователей). В телефоне была папка содержащая в названии что-то вроде Kingstnoffice, в ней копировались файлы, причем в одной папке с абсолютно одинаковым названием и размером. Антивирусы не помогали. На телефоне у меня уже так было раньше, лечится форматированием, с последующим НЕ включением в течение недели. Если просто отформатировать не помогает.

 

На моем ноутбуке был Виндовс 8, я его редко обновляла, и без каких-либо обновлений файлов в поиске стало несколько, потом обновляла, не помогло. Далее в ремонтном центре установили Виндовс 10 и снова не помогло.

 

На телефоне Dr.Web недавно нашел уязвимость EvilParcel (CVE-2017-13315) и рекламную программу в TouchPal, частично удалил и рекламы стало меньше. Потом я руками удалила из программ оставшиеся части TouchPal с названиями разных языков и стал быстрее работать интернет, но это все уже после форматирования и ноутбуку я телефон больше не подключала.

 

Сейчас главная проблема создание интернет ярлыков. Я пишу диссертацию. И часть моих оригинальных идей совсем недавно появилась в интернете.

 

Логи:   forum_drweb.zip   240,33К   5 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Ivan Korolev]

Сейчас все файлы свежие и находятся: 1) в папке расположения файла (у меня это рабочий стол), размер файла один, 2) в папке пользователь > AppData\Roaming\Microsoft\Windows\Recent\, размер файла намного меньше но при его удалении удаляются оба этих файла, 3) обычно сдвоенные (не выделяются по одному, но не всегда) интернет ярлыки на файл, расположенные в папке истории (Histiry< Windows<Microsoft<Local<AppData<Имя<Users<Локальный диск). Из папки поиска ярлыки удалить нельзя, но если перейти в папку расположения, то можно. И просто историю тоже можно удалить

 

Тут нет никакой вирусной активности.

 

Для проверки компьютера на вирусы соберите отчет специальной утилитой: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exeи залейте куда-нибудь. Здесь укажите ссылку для скачивания.

Сообщение было изменено Ivan Korolev: 23 Декабрь 2020 - 18:57

[Августина Мариэль]

Мне кажется, это все-таки вирус.

 

Поиск больше не работает до конца. До того как я готовила для вас Логи поиск занимал минуты 2-3, максимум 5. Сейчас дважды искал минут по 25, нашел 1 файл и приостановил процесс поиска. В диспетчере задач на против "Поск" зеленый листик, при наведении пишет: Эта группа процессов UWP используется для приостановки процессов в целях повышения производительности системы. При этом ЦП занята на 70 - 80 %, при открытии диспетчер задач ЦП была занята на 90 - 100% и поиск шел. 

 

Интернет ярлыки создавались в папке История, принадлежащей Roaming. Сейчас там пусто, но зато появились файлы (ярлыки для документов и папок, включая kglcheck) в История Local, до этого там было пусто (после того как я все удалила точно пусто, но до этого кажется тоже).

 

Еще во время проверки Dr.Web (вчера) Система безопасности мне пару раз писала, что стандартное приложение для .3gp сброшено до Кино и ТВ, второе сообщение я открывала, больше его нет.

 

Еще невозможно включить историю для файлов, но вчера я пробовала сделать исключение для рабочего стола, но по-моему не получилось, т.к. куда сохранять не спросил.

 

 

https://yadi.sk/d/QzII4_m2z3iLyg 

[Ivan Korolev]

Что у вас с поиском не скажу, но активных троянов в системе нет.

[Августина Мариэль]

Перед тем как отдать ноутбук в ремонт я все данные (наверно вместе с вирусом) сохранила на съемный диск и там сейчас очень странный файл есть 4 КБ, название точка подчекивание точка. Прилагаю фото, экрана сделанное телефоном

[Августина Мариэль]

Не прикрепилось.

Прикрепленные файлы:

•  IMG_20201223_211321.jpg   198,08К   0 Скачано раз

[Ivan Korolev]

Запакуйте в архив с паролем его и Autorun.inf.

[Августина Мариэль]

И сюда прикрепить для дальнейшего распространения? А пароль вам как сообщить?

[Lvenok]

И сюда прикрепить для дальнейшего распространения? А пароль вам как сообщить?

В личные сообщения тому, кто попросил и архив и пароль.

[Ivan Korolev]

Нет там вируса, чисто.

 

ps: "-_" файл вообще от мака.

Сообщение было изменено Ivan Korolev: 24 Декабрь 2020 - 00:59

[Августина Мариэль]

Скорее это части какого-то не уловимого вируса для не очень новых ПК. Съемный диск был абсолютно новый, к маку не подключался и я на него сохраняла исключительно свои файлы созданные в Windows. У меня еще файлы Desktop.ini теперь создаются и да я знаю, что вы скажите, что это нормально. Только у меня именно так всегда ПК и портятся. Сначала Desktop.ini в каждой папке. Потом файлы повреждаются. До того как я отдала ноутбук в ремонт один точно уже повредился. А потом мне скажут, что это железо, одномоментно на двух ноутбуках, одному лет 10, второму 4-5. И desktoр раньше в папках не создавался. И почему при подключении к Windows zip папка, которую вы просили исчезает со съемного носителя.

На ноутбуке, которому около 10 делали апгрейт, сказали это память, её меняли и ещё какие-то элементы, он не мой, точно не знаю. И ничего не помогает. Но в операционной системе, в которой, я создавала zip папку, на этом же железе, всех указанных проблем нет. Хотя ей всего 3 дня, и возможно она ещё просто не поразилась.

Спасибо за участие.

Сообщение было изменено Августина Мариэль: 24 Декабрь 2020 - 11:27

[Ivan Korolev]

>У меня еще файлы Desktop.ini теперь создаются и да я знаю, что вы скажите, что это нормально.

 

Отключите отображение скрытых и системных файлов и они прекратят "создаваться".

[Августина Мариэль]

Я периодически включаю и выключаю отображение этих файлов. К моменту гибели ПК они во всех папках. Если удалить создаются заново. На свежем ПК их нет. Около полу года назад их не было в моем ПК, по крайней мере в часто используемых папках пользователя.

[Августина Мариэль]

Перед возникновением всех этих проблем, но после возможного инфицирования стали обновляться многие программы. На одном ноутбуке был Windows 7 он уже не поддерживается и не обновляется, но сразу несколько программы (Адобе Ридер, браузер, ещё что-то и собственно сам Windows) запросили обновление. Windows 8 до этого обновлялся 3-4 месяца назад и обновление всего странным мне не показалось. В операционной системе которую я совсем недавно установила, браузер использовала 4 дня и ему снова нужно обновление, а на кануне, я для вас через него "вирус" отправляла.

[Ivan Korolev]

Ничего из того, что вы предоставили для ознакомления, включая описание событий, не имеет ничего общего с заражением вредоносным ПО.

[Августина Мариэль]

23.12 в 23:33 я отправила вам подозрительные элементы. Журнал моей новой операционной системы теперь начинается не с момента установки, а с 23.12 23:34. С сообщения, что служба журналирования остановлена. Процесс, отвечающий за журналирование системных событий, завершил работу и закрыл все свои файла. Далее местами Error. На предыдущих ПК журналы и точки восстановления тоже исчезали.

 

И то, что этого нет в базе вирусов, ещё не означает, что это не вирус. Не буду больше беспокоить.

Сообщение было изменено Августина Мариэль: 25 Декабрь 2020 - 18:54

[Августина Мариэль]

Скажите пожалуйста, приведенные ниже проблемы могут быть связаны с вирусом.

 

Периодически останавливается служба ведения журнала, изменяется системное время, оно стабильно на 2 часа меньше чем в другой операционной среде.

 

Новому сеансу входа назначены привелегии: SeAssingPrimaryTokenPrivilege, SeTebPrivilege, SeSecurityPrivilege и др.

 

C:/Windows/System32/wininit.exe (и др.) создала C:/Windows/sas.exe ( и др.) тип повышения маркера прав %%1932 (и др.)

 

Новый дискрипор безопасности C:/Users/имя/AppData//Local/Temp/Winre/ExtractedFromWin (и несколько программ) процесс C:/Windows/system32/taskhostw.exe и др. Новый дискриптор S:ARA(AU;SAFA;DCLCRPCRSDWDWO;;;;WD с пустого или с S:AINO_ACCESS_CONTROL

 

Чтение, перенос, экспорт, шифрование, открытие постоянного ключа клиента.

 

Хеш образа файла не допустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства /Device/HarddiskVolume3/ProgramFiles/DrWeb/dwsewse.exe

 

DrWeb ARKApi:Neutralized object:/Device/HarddiskVolume3/Windows/System32/drivers/etc/host... а) ... cure error [threat name: HOST:SUSPICIOUS.URL, action:2, type:11, ret 4, time             или б) ...cured [threat name: HOST:SUSPICIOUS.URL:4}, action:2, type:11, ret 4, time

 

PerfDiagLogger 0x0000035 не начат. ReadyBoot0xC0000188 остановлен. Проблемы с остановкой RegRun Start Contrl и с запуском Outlook, RmSve, BITS.

 

и несколько изображений сюда прикрепились, но потом исчезли, но общий размер указан с учетом них.

[Августина Мариэль]

Не прикрепились(

Прикрепленные файлы:

•  Screenshot_2020-12-27-14-08-42.jpg   126,38К   0 Скачано раз
•  Screenshot_2020-12-27-14-08-27.jpg   132,39К   0 Скачано раз
•  Screenshot_2020-12-27-13-59-10.jpg   122,36К   0 Скачано раз
•  Screenshot_2020-12-27-13-56-25.jpg   125,39К   0 Скачано раз
•  Screenshot_2020-12-27-13-52-08.jpg   483,11К   0 Скачано раз
•  Screenshot_2020-12-27-13-49-41.jpg   985,79К   0 Скачано раз
•  Screenshot_2020-12-27-13-45-28.jpg   889,08К   0 Скачано раз
•  Screenshot_2020-12-27-13-42-17.jpg   953,31К   0 Скачано раз

[Августина Мариэль]

И ещё.

Прикрепленные файлы:

•  Screenshot_2020-12-27-13-39-42.jpg   125,84К   0 Скачано раз
•  Screenshot_2020-12-27-13-22-14.jpg   565,73К   0 Скачано раз
•  Screenshot_2020-12-27-13-22-14.jpg   565,73К   0 Скачано раз
•  Screenshot_2020-12-27-13-19-39.jpg   819,35К   0 Скачано раз
•  Screenshot_2020-12-27-04-52-28.jpg   122,36К   0 Скачано раз
•  Screenshot_2020-12-27-04-52-56.jpg   126,18К   0 Скачано раз
•  Screenshot_2020-12-27-12-50-19.jpg   97,51К   0 Скачано раз
•  Screenshot_2020-12-27-12-50-53.jpg   135,33К   0 Скачано раз
•  Screenshot_2020-12-27-12-51-29.jpg   166,51К   0 Скачано раз
•  IMG_20201227_142809.jpg   87,53К   0 Скачано раз