Перейти к содержимому


Фото
- - - - -

Trojan.Tofsee не удаляет Dr.WebCureIt

Trojan.Tofsee вирус в оперативной памяти

  • Please log in to reply
9 ответов в этой теме

#1 GrabiBoo

GrabiBoo

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 01 Июль 2014 - 11:21

Здравствуйте, ув. господа!

 

Проблема следующая: сперва появились проблемы с излишними и назойливыми баннерами, которые появлялись при клике в Гугл Хроме, просканировав ПК были обнаружены и удалены некоторые вирусы! Но при повторном сканере программой Dr.WebCureIt, был обнаружен троян Trojan.Tofsee в оперативной памяти и удалён программой, и опять при повторном сканирование появляется этот вирус! Такая же проблема встречалась у меня ранее на другом ПК и помогло только радикальное решение формат С!))) Я так понимаю где-то сидит жучок и запускает екзешник, который в свою очередь подгружает вирус в оперативку! Просьба помогите удалить данный вирус и понять как с ним бороться, чтоб впредь не допускать заражения ПК! Спасибо заранее!!!

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 103 Сообщений:

Отправлено 01 Июль 2014 - 11:21

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 AnrDaemon

AnrDaemon

    Member

  • Posters
  • 122 Сообщений:

Отправлено 01 Июль 2014 - 14:19

Dr.Web LiveCD
Раз троян в памяти, пока он там сидит, выковырять его без доступа к ядру системы практически невозможно.
Такой доступ есть либо у уже уставноелнного антивируса с предзагруженными драйверами, либо у антивируса, работающего в другой среде с доступом к пострадавшему нисителю информации.

#4 GrabiBoo

GrabiBoo

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 01 Июль 2014 - 18:09

Спс!Проверил, не помогло!!!



#5 fetch

fetch

    Member

  • Posters
  • 324 Сообщений:

Отправлено 02 Июль 2014 - 10:40

Как вариант посмотрите в 

 

C:\Users\<user>\

C:\Users\<user>\AppData

 

.exe файл размером 10-50 Мб со случайным именем состоящим из цифр и букв или только букв. Если найдете что-то похожее - вышлите в вирлаб с указанием здесь номера тикета.


Сообщение было изменено fetch: 02 Июль 2014 - 10:40


#6 GrabiBoo

GrabiBoo

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Июль 2014 - 13:43

проблема повторилась на домашнем компе, Dr.Web Security Space определяет файл csgo.exe (это  counter strike global offensive) лицензионная игра через стим вирусом 

Trojan.Tofsee, в оперативной памяти!!!Ни один метод не помого, LiveCD ни чего не находит! На работе еще раз проверил с помощь LiveCD ПК помогло, нашёл пару вирусов после удаления, при дальнейших сканах вирус не обнаружено!А вот на домашнем снова вылезла это проблема, в прошлый раз помогло только полная переустановка системы!!!Как мог поразить вирус программы которая куплена и защищена?!

#7 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 07 Июль 2014 - 14:41

Как мог поразить вирус программы которая куплена и защищена?!

Рекомендую обращение в ТП, там запросят логи, проанализируют ситуацию, возможно что-то подскажут Вам, возможно что-то поправят у себя в алгоритмах лечения конкретного образца злыдня.



#8 GrabiBoo

GrabiBoo

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Июль 2014 - 15:52

скорее всего так и сделаю, думал сам разберусь, но не выходит!



#9 fetch

fetch

    Member

  • Posters
  • 324 Сообщений:

Отправлено 07 Июль 2014 - 17:40

возможно что-то поправят у себя в алгоритмах лечения конкретного образца злыдня.

Проблема в дропере, который перепаковывается постоянно. Как на него детект появляется, то и зараза с компа быстро удаляется.



#10 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 08 Июль 2014 - 17:13

 

возможно что-то поправят у себя в алгоритмах лечения конкретного образца злыдня.

Проблема в дропере, который перепаковывается постоянно. Как на него детект появляется, то и зараза с компа быстро удаляется.

 

Вот тут и есть вариант применять универсальный детект упаковщиков. Но это как бэ фирменные штучки.





Also tagged with one or more of these keywords: Trojan.Tofsee, вирус в оперативной памяти

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых