17 ответов в этой теме

[CSGeniusCS]

Здравствуйте, столкнулся с такой проблемой, компьютер перестали видеть другие устройства (как в локальной сети, так и в интернете). Очень долго мучился, но всё же добился устранения проблемы. Оказывается была создана локальная политика ip безопасности с какими-то списками ip фильтров, был включен брандмаузер, и в нем были созданы правила на блокировку и разблокировку портов, я это всё исправил, всё повыключал и поудалял. Но вдруг через пару часов все эти вещи вернулись назад: политика создалась, брандмаузер включился, правила брандмаузера создались (причём я выключал брандмаузер через слукжбы). Начал копать глубже, в планировщике задач нашёл странные задачи по типу "Mysa (1) (2) (3)", естессно их удалил, но они потом опять появились. На форумах вычитал, что это вирус, там советовали просканировать утилитой CureIt, она что-то нашла, что-то вылечила, но вскоре всё опять вернулось... Читал, что для каждого пользователя этот вирус удаляется индивидуально, нужно какие-то логи высылать и т. д.. Так вот, я готов выслать всё, что потребуется, только помогите удалить этот вирус навсегда...

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[v.martyanov]

Странный вопрос: узкоспециализированный софт, типа складского, для документооборота и т.п. стоит?

[CSGeniusCS]

Странный вопрос: узкоспециализированный софт, типа складского, для документооборота и т.п. стоит?

нет, все делалось средствами windows 7, логи вышлю чуть позже, просто сейчас на работе...

[CSGeniusCS]

Ребят, вот выкидываю логи этих трёх программ:

cureit.log это лог, когда была обнаружена угроза (т. е. до лечения и перезагрузки)

cureit_1.log это лог, после лечения и перезагрузки (т. е. я провёл заново сканирование)

hijackthis.log это лог, который сохранил сам

hijackthis hijackthis_1.log это лог, который сохранил я

GENIUSPC_Genius_210817_182928.zip это лог после работы этих двух программ

Забыл сказать, этот вирус создал пользователя ASP.USER плюс к вышесказанному...

Странный вопрос: узкоспециализированный софт, типа складского, для документооборота и т.п. стоит?

 

Прикрепленные файлы:

•  cureit.log   7,32Мб   1 Скачано раз
•  cureit_1.log   10,99Мб   1 Скачано раз
•  GENIUSPC_Genius_210817_182928.zip   2,56Мб   1 Скачано раз
•  hijackthis.log   9,15К   4 Скачано раз
•  hijackthis_1.log   9,15К   1 Скачано раз

Сообщение было изменено CSGeniusCS: 21 Август 2017 - 18:39

[Dmitry Shutov]

 

Ребят, вот выкидываю логи этих трёх программ:

cureit.log это лог, когда была обнаружена угроза (т. е. до лечения и перезагрузки)

cureit_1.log это лог, после лечения и перезагрузки (т. е. я провёл заново сканирование)

hijackthis.log это лог, который сохранил сам

hijackthis hijackthis_1.log это лог, который сохранил я

GENIUSPC_Genius_210817_182928.zip это лог после работы этих двух программ

Забыл сказать, этот вирус создал пользователя ASP.USER плюс к вышесказанному...

Странный вопрос: узкоспециализированный софт, типа складского, для документооборота и т.п. стоит?

 

 

 

Операционная система в актуальном состоянии? Стоят все обновления? ....

 

Если нет....ставим.

[CSGeniusCS]

Операционная система в актуальном состоянии? Стоят все обновления? ....
 
Если нет....ставим.

 

Так а разве установленные обновления сами удалят вирус?

[v.martyanov]

 

Операционная система в актуальном состоянии? Стоят все обновления? ....
 
Если нет....ставим.

 

Так а разве установленные обновления сами удалят вирус?

 

Так а разве антивирус закроет дыру, через которую вирье пролезает?

[RomaNNN]

CSGeniusCS, установленные обновления не дадут заразе снова проникнуть после лечения. Это как зачерпывать воду дуршлагом.

 

После установки обновлений можно будет говорить о каком-то лечении.

[CSGeniusCS]

Так а разве антивирус закроет дыру, через которую вирье пролезает?

Я вас не совсем понимаю, мне так казалось, что нужно сначала избавиться от заражений, а потом обновления ставить, дабы избежать повторного заражения, или я что-то не так понял?

[CSGeniusCS]

После установки обновлений можно будет говорить о каком-то лечении.

Хорошо, я обновлю систему заражённую вирусами, а что потом делать-то? Опять логи высылать?

[RomaNNN]

CSGeniusCS, Потом пролечитесь CureIt-ом. После - логи по правилам.

[v.martyanov]

После обновления - лечить CureIt'ом, удалять левые задания.

 

C:\ProgramData\DatacardService\DCSHelper.exe - интересно что это?
TuneUp Utilities - я бы снес от греха подальше.

[Dmitry Shutov]

После обновления - лечить CureIt'ом, удалять левые задания.

 

C:\ProgramData\DatacardService\DCSHelper.exe - интересно что это?
TuneUp Utilities - я бы снес от греха подальше.

 

 

<File Path="C:\ProgramData\DatacardService\DCSHelper.exe" Size="236384" CreationTime="14.03.2011 15:27:28" LastAccessTime="21.08.2017 15:17:22" LastWriteTime="14.03.2011 15:27:28">

<Attributes Archive="true" Value="00002020" />

<Hash MD5="349AB4F70E2AC44970894E7F03E1576E" SHA256="584D84AD7BE834B72E3C4548B3E1E25984CCC5F9EAA2245C44CB6BFC63A9D716" SHA1="5F27448DD78EEE8E3C583B57FCFE0969281F007F" />

<ArkStatus File="db_cert_white_list, signed, pe32 (0x100204)" Cert="signed (0x2)" TStorm="unknown (0xFFFFFFFF)" />

<FileInfo>

<Translation Language="1033" CodePage="1200" CompanyName="Huawei Technologies Co., Ltd." FileDescription="DataCardMonitor MFC Application" FileVersion="2, 0, 0, 47" InternalName="DataCardMonitor" LegalCopyright="Copyright © Huawei Technologies Co., Ltd. 2004-2006. All rights reserved." OriginalFilename="DataCardMonitor.EXE" ProductName="Huawei Technologies Co., Ltd. DataCardMonitor" ProductVersion="2, 0, 0, 47" />

</FileInfo>

 

https://virustotalcloud.appspot.com/nui/index.html#/file/584d84ad7be834b72e3c4548b3e1e25984ccc5f9eaa2245c44cb6bfc63a9d716/detection

[CSGeniusCS]

C:\ProgramData\DatacardService\DCSHelper.exe - интересно что это?

Это от программы, создающей подключение 3G модема, вреда не несёт

 

Буду обновляться, дальше посмотрим...

[v.martyanov]

Да, у 5F27448DD78EEE8E3C583B57FCFE0969281F007F подпись Huawei

[antonina]

Здравствуйте.У меня телефон микромакс Q480 dr.web нашёл
вирус not a virus Advare.Reach.1(рекламные программы)
/system/priv-app/RochClient/oap/arm64/ RockClient.odex
Удалить не могу,только игнорировать выскакивает. Чистила всеми антивирусниками,но толку нет,dr.web опять находит этот вирус. Делала сброс настроек,все так же вирус на месте.Помогите удалить вирус.

[maxic]

antonina, а идите-ка вы вот сюда: https://forum.drweb.com/index.php?showforum=84