Newbie
Отправлено 11 Сентябрь 2024 - 21:01
Добрый вечер, после лечение через утилиту вэба постоянно появляется этот вирус. При запуске пк браузер постоянно открывается и открывает различные сайты с казино, играми и 18+
скрин вируса - https://imgur.com/a/6Qu1uyN
логи - https://disk.yandex.ru/d/MOD9ixe38YLFYQ
Poster
Отправлено 11 Сентябрь 2024 - 21:01
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
Foreign Member
Отправлено 11 Сентябрь 2024 - 21:05
Добрый день , дополнительно прикрепите :
Global Malware Hunting.
Advanced Member
Отправлено 11 Сентябрь 2024 - 23:51
Здравствуйте.
Нажмите клавишу Windows. Введите в поиск cmd.exe
Запустите программу cmd.exe
Скопируйте и выполните команду в открывшемся окне:
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v User /f
Перезагрузите компьютер. Браузер с не нужными сайтами не открылся?
Newbie
Отправлено 12 Сентябрь 2024 - 18:47
Здравствуйте.
Нажмите клавишу Windows. Введите в поиск cmd.exe
Запустите программу cmd.exe
Скопируйте и выполните команду в открывшемся окне:
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v User /f
Перезагрузите компьютер. Браузер с не нужными сайтами не открылся?
все не открывается, спасибо
Newbie
Отправлено 12 Сентябрь 2024 - 18:51
Добрый день , дополнительно прикрепите :
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Newbie
Отправлено 12 Сентябрь 2024 - 19:09
Здравствуйте.
Нажмите клавишу Windows. Введите в поиск cmd.exe
Запустите программу cmd.exe
Скопируйте и выполните команду в открывшемся окне:
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v User /fПерезагрузите компьютер. Браузер с не нужными сайтами не открылся?
вирус не был удален с пк, антивирус все равно его находит даже после лечения - https://imgur.com/a/2J6TeRH
Foreign Member
Отправлено 12 Сентябрь 2024 - 21:14
Start::CreateRestorePoint:CloseProcesses:Virusscan: C:\Users\User\AppData\Local\Sideloadly\sideloadlydaemon.exeFile: C:\Users\User\AppData\Local\Sideloadly\sideloadlydaemon.exeVirusscan: C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exeFile: C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exeVirusscan: C:\Program Files\Chaos\UnifiedLogin\ulasupervisor.exeFile: C:\Program Files\Chaos\UnifiedLogin\ulasupervisor.exeCHR HKU\S-1-5-21-418434546-2613134936-1023350470-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]Virusscan: C:\Users\User\cpohvp84.exeShortcut: C:\Users\User\AppData\Roaming\Microsoft\Word\Помещения%20311216551309266679\Помещения%20.docx.lnk -> C:\Users\User\Desktop\работа мади\Помещения .docx (Нет файла) <==== CyrillicAlternateDataStreams: C:\Windows:CM_be7995bdfc8d8ab791fbfefa187c3875a89ccddaea42f3929155d8af0adee7c6 [26]IE trusted site: HKU\S-1-5-21-418434546-2613134936-1023350470-1001\...\sharepoint.com -> hxxps://nthume-files.sharepoint.comFirewallRules: [TCP Query User{1C9942EF-54D7-4985-AE96-11E85F9E093A}E:\driver\sdi64-drv.exe] => (Allow) E:\driver\sdi64-drv.exe => Нет файлаFirewallRules: [UDP Query User{7DD93BD7-F456-4C45-B2D7-F3839C74A2CD}E:\driver\sdi64-drv.exe] => (Allow) E:\driver\sdi64-drv.exe => Нет файлаFirewallRules: [{E9392C55-FAF0-4B23-9048-C4CA7FEDA185}] => (Allow) LPort=30305FirewallRules: [{F5428EA8-2F70-4417-911C-B4B810123A51}] => (Allow) LPort=30306FirewallRules: [{8D81C4E1-8E8D-456E-BA5E-E93D4CD62E5E}] => (Allow) LPort=27015FirewallRules: [{39FDD639-ED94-42AC-9980-E5B410CC8D6D}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаFirewallRules: [{99745B88-3315-4D8F-9E1C-3C9957FBFA62}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаFirewallRules: [{240793F8-B5AF-456E-8D02-409CE7217823}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаFirewallRules: [{39FDD639-ED94-42AC-9980-E5B410CC8D6D}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаFirewallRules: [{99745B88-3315-4D8F-9E1C-3C9957FBFA62}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаFirewallRules: [{240793F8-B5AF-456E-8D02-409CE7217823}] => (Block) C:\Program Files\GRAPHISOFT\ARCHICAD 24\CineRender\CineRenderNEM.exe => Нет файлаExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\ExclusionsHosts:Reboot:End::
Global Malware Hunting.
Member
Отправлено 12 Сентябрь 2024 - 21:21
вирус не был удален с пк, антивирус все равно его находит даже после лечения
В hosts ничего страшного, игнорируйте:
2019-12-07 13:14 - 2024-09-11 21:41 - 000005381 _____ C:\Windows\system32\drivers\etc\hosts 127.0.0.1 checkhost.local 109.94.209.70 fitgirl-repacks.xyz # Fake FitGirl site 109.94.209.70 www.fitgirlpack.site # Fake FitGirl site
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
