16 ответов в этой теме

[VESTR]

Доброго времени суток.
Подхватил я крайне навязчивого "гада", который осадил папку temp.
Пробовал всё, что только можно. Антивирус говорит, что обезвредил, но через какое то время он снова всплывает.
Само место обитание вируса, а именно папка, не удаляется ничем. Пробовал и сторонние программы, и через безопасный режим, и с помощью Live CD, ничего не помогает.
Требуется помощь профессионалов, поскольку тупа сносить винду, нет особого желания, слишком уж много всего потеряю.
К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mb
 dwscanner.log   10,02Мб   5 Скачано раз  hijackthis.log   8,64К   3 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[AndreyKa]

К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mb

Выложите на файлообменник, например https://disk.yandex.ru/

[AndreyKa]

Установите обновление

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

[VESTR]

 

К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mb

Выложите на файлообменник, например https://disk.yandex.ru/

 

https://yadi.sk/d/Rab0Tayg4Y2wOA

[VESTR]

Установите обновление

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msuЯ

Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление

[provayder]

 

Установите обновление

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msuЯ

Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление

 

это прикроет дыру через которую вирь к вам заселяется, затем повторно пролечиться

Сообщение было изменено provayder: 07 Апрель 2019 - 14:14

[VESTR]

 

 

Установите обновление

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msuЯ

Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление

 

это прикроет дыру через которую вирь к вам заселяется, затем повторно пролечиться

 

Дыру надеюсь прикрыло, но вот вирус всё так же сидит, и время от времени антивирус выдаёт предупреждение о его нахождении

[AndreyKa]

Странно то, что в логе dwservice.log полное имя файла

C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile

А в остальных логах:

C:\Users\VESTR\AppData\Local\Temp\1491993\....\TemporaryFile

 

Возможно, дело в том, что в имени папки запрещённый символ.

[Dmitry Shutov]

 

created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files (x86)\Trojan Remover\Rmvtrjan.exe:7148

  sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 32, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

  curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Trojan Remover\rmvtrjan.exe" /d "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"

 

 

created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files\LockHunter\LockHunter.exe:6696

  sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

  curdir: C:\Program Files\LockHunter\, cmd: "C:\Program Files\LockHunter\LockHunter.exe" "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"

 

Может временно удалить Trojan Remover и LockHunter, возможно ложное срабатывание Дока на какой то компонент, и понаблюдать будет ли детект.

Сообщение было изменено Dmitry Shutov: 07 Апрель 2019 - 16:17

[VESTR]

 

 

created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files (x86)\Trojan Remover\Rmvtrjan.exe:7148

  sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 32, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

  curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Trojan Remover\rmvtrjan.exe" /d "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"

 

 

created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files\LockHunter\LockHunter.exe:6696

  sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

  curdir: C:\Program Files\LockHunter\, cmd: "C:\Program Files\LockHunter\LockHunter.exe" "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"

 

Может временно удалить Trojan Remover и LockHunter, возможно ложное срабатывание Дока на какой то компонент, и понаблюдать будет ли детект.

 

Уже сделано, я их установил уже после 20 нахождения вируса Dr. Web'ом. Так сказать уже всё подряд начал использовать.
Самое интересное что сами папки ничего не весят, а файл весит 500кб, как будто это облачное хранилище какое то)  shot1.jpg   58,23К   0 Скачано раз  shot2.jpg   55,47К   0 Скачано раз

[Dmitry Shutov]

А могли бы вы выслать этот файл в облако (фаилобменник), запакуйте а перед этим на время отключите АВ.

[VESTR]

А могли бы вы выслать этот файл в облако (фаилобменник), запакуйте а перед этим на время отключите АВ.

При попытки переименовать, переместить, запаковать в .rar архив... Система говорит что этого файла не существует  shot3.jpg   19,58К   0 Скачано раз

[VESTR]

В общем я разобрался со своим визави.
Запустил систему через ERD Commander, переименовал папку, заархивировал(удалив при этом исполняемый файл), и удалил сам архив, всё в папки Temp чисто как после Propera, на вирусы проверил, тоже нЭма) Всем спасибо кто не остался в стороне)

[AndreyKa]

В DrWeb баг. Он не может удалить файл в папке с именем ....

 

В командной строке также как на скриншоте выполните команду

dir /x C:\Users\VESTR\AppData\Local\Temp\1491993

 

Кроме имени .... слева выведется некое ИМЯ~1. Используйте его в команде:

ren C:\Users\VESTR\AppData\Local\Temp\1491993\ИМЯ~1  1

 

Запустите в сканере DrWeb проверку папки C:\Users\VESTR\AppData\Local\Temp\1491993

[RomaNNN]

В DrWeb баг. Он не может удалить файл в папке с именем ....

 

Спасибо за бдительность, поправили

[Igor Kanyuka]

Выпущено обновление с исправлением.