26 ответов в этой теме

[kiborgGSM]

Если выхожу в интернет через модем Мегафона, то каждый четверг в папках с общим доступом создаются зараженные файлы с расширением EXE, BAT, PF, SCR в качестве имени имя папки. Все установленные антивирусные программы их отлавливают и удаляют. При выходе в интернет через другого провайдера этого не происходит. На данный момент на все папки/диски назначил права доступа на только чтение теперьв них все в порядке, а на одной папке оставил полный доступ сегодня в этой папке ситуация повторилась. Данный момент изменил сеть с "Общественная" на "Домашняя" с доступом по паролю буду ждать следующего четверга.

 

Посоветуйте, что ещё можно сделать в данной ситуации.

Сообщение было изменено mrbelyash: 26 Февраль 2015 - 13:32

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[mrbelyash]

логи сделайте

[mrbelyash]

эстонцы или поляки писали?

[kiborgGSM]

Логи

 

Прикрепленные файлы:

•  hijackthis.rar   4,21К   3 Скачано раз
•  MSI-GT70-R9OL_R9OL_260215_165653.zip   8,61Мб   4 Скачано раз
•  cureit.rar   967,05К   2 Скачано раз

[mrbelyash]

Ну автозагрузку его я видел,а вот как попадает на машину, пок а не понятно..Винда со свежими апдейтами?

host сами набивали?

Сообщение было изменено mrbelyash: 26 Февраль 2015 - 14:35

[kiborgGSM]

да со свежими. host редактировал сам

[mrbelyash]

Возможно файрвол или снифер попробывать? Но логи снифера-это уже к спецам.

[kiborgGSM]

Ну автозагрузку его я видел,а вот как попадает на машину,

в каком логе видно автозагрузку и как называется процесс?

 

Возможно файрвол или снифер попробывать?

Авировский файервол имеется.

Сообщение было изменено kiborgGSM: 26 Февраль 2015 - 15:36

[mrbelyash]

А я в бустере его прогнал и посмотрел куда прописался. В Run и RunOnce

Он блочит часть защитного ПО

[kiborgGSM]

ок

[kiborgGSM]

360 Internet Security отловил файл YUtils.exe в папке c:\Program Files (x86)\MegaFon\MegaFon Internet\ и признал его зараженным HEUR/QVM10.0.Malware.Gen отпраавлял этот файл на проверку virustotal.com вроде как не заражен. Ранее  360 Internet Security не признавал его зараженным, возможно просто не проверял эту папку. В настройках 360 Internet Security ничего не изменял Protection Level выставлен на Low. DrWeb CureIt зараженным этот файл не признает.

Может быть это ложное срабатывание ?!

 

 

 

 

Прикрепленные файлы:

•  YUtils.jpg   256,06К   0 Скачано раз

Сообщение было изменено maxic: 27 Февраль 2015 - 00:23

[maxic]

kiborgGSM, вирусы или потенциально опасное ПО выкладывать на форуме ЗАПРЕЩЕНО. Читайте правила.

[kiborgGSM]

прошу прощенья

[maxic]

Если не догадались приложить результаты проверки, то сделаю это за вас: https://www.virustotal.com/ru/file/0e6a928bdcb619efbce91a5d857878e0d7b8019514f2ec47ac651e124a16d247/analysis/1424985897/

[kiborgGSM]

А я в бустере его прогнал и посмотрел куда прописался. В Run и RunOnce

Он блочит часть защитного ПО

Если можно поточнее места в этих ветках

[kiborgGSM]

кто в автозагрузке заражен

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="\"C:\\Program Files (x86)\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
"Sidebar"="C:\\Program Files (x86)\\Windows Sidebar\\sidebar.exe /autoRun"
"AceStream"="C:\\Users\\R9OL\\AppData\\Roaming\\ACEStream\\engine\\ace_engine.exe"
"Advanced SystemCare 8"="\"C:\\Program Files (x86)\\Advanced SystemCare 8\\ASCTray.exe\" /auto"
"DicterRu"="C:\\Program Files (x86)\\Dicter\\Dicter.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="\"C:\\Windows\\system32\\igfxtray.exe\""
"HotKeysCmds"="\"C:\\Windows\\system32\\hkcmd.exe\""
"Persistence"="\"C:\\Windows\\system32\\igfxpers.exe\""
"RTHDVCPL"="\"C:\\Program Files\\Realtek\\Audio\\HDA\\RAVCpl64.exe\" -s"
"IAStorIcon"="\"C:\\Program Files\\Intel\\Intel® Rapid Storage Technology\\IAStorIconLaunch.exe\" \"C:\\Program Files\\Intel\\Intel® Rapid Storage Technology\\IAStorIcon.exe\" 60"
"SynTPEnh"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
  6c,00,65,00,73,00,25,00,5c,00,53,00,79,00,6e,00,61,00,70,00,74,00,69,00,63,\
  00,73,00,5c,00,53,00,79,00,6e,00,54,00,50,00,5c,00,53,00,79,00,6e,00,54,00,\
  50,00,45,00,6e,00,68,00,2e,00,65,00,78,00,65,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00
"SCM"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,20,00,\
  46,00,69,00,6c,00,65,00,73,00,20,00,28,00,78,00,38,00,36,00,29,00,5c,00,53,\
  00,43,00,4d,00,5c,00,53,00,43,00,4d,00,2e,00,65,00,78,00,65,00,00,00
"Acronis Scheduler2 Service"="\"C:\\Program Files (x86)\\Common Files\\Acronis\\Schedule2\\schedhlp.exe\""
"BCSSync"="\"C:\\Program Files\\Microsoft Office\\Office14\\BCSSync.exe\" /DelayServices"
"AdobeAAMUpdater-1.0"="\"C:\\Program Files (x86)\\Common Files\\Adobe\\OOBE\\PDApp\\UWA\\UpdaterStartupUtility.exe\""
"Form Pilot Pro virtual printer agent"="\"C:\\Program Files\\Form Pilot Pro\\fppragent.exe\""
"MegaFon_MegaFonInternet"="\"C:\\Program Files (x86)\\MegaFon\\MegaFon Internet\\MegaFonInternet.exe\" /minimized"
"360sd"="\"C:\\Program Files\\360\\360 Internet Security\\360sdrun.exe\""
"NvBackend"="\"C:\\Program Files (x86)\\NVIDIA Corporation\\Update Core\\NvBackend.exe\""
"ShadowPlay"="C:\\Windows\\system32\\rundll32.exe C:\\Windows\\system32\\nvspcap64.dll,ShadowPlayOnSystemStart"

Сообщение было изменено kiborgGSM: 27 Февраль 2015 - 00:58

[kiborgGSM]

Судя по тому где вирус создает файлы, это происходит исключительно в папке/ах общего доступа с разрешением "Полный доступ" значит это происходит исключительно по сети мегафона, вот бы это доказать, можно было бы выкатить претензию

 

Проверил все файлы из автозагрузки ( run в реесте) на virustotal.com ни один из них не заражен кроме ace_engine.exe двумя антивирусами признан зараженным и ASCTray.exe четырьмя

Сообщение было изменено kiborgGSM: 27 Февраль 2015 - 01:34

[Lvenok]

Хех. Еще до НГ на ноуте у родителей наблюдал полностью аналогичную картину! Доступ к нему только по удаленке есть поэтому никак не мог понять откуда ноги растут! Доктор конечно при проверке сканером их находил и сажал в карантин. Пока не выставил сеть на общественную в настройках ОС - ситуация стабильно воспроизводилась. Сейчас все ОК тьфу тьфу тьфу. Сейчас юзаю тоже модемку от них на нетбуке, но подобной проблемы не наблюдаю, правда стоит ХР на нем.

[l.e.e.]

# сайты на которых мегафон производит платную автоподписку

 

Феерично..

Если выхожу в интернет через модем Мегафона, то каждый четверг в папках с общим доступом создаются зараженные файлы с расширением EXE, BAT, PF, SCR в качестве имени имя папки.

А где файлы с именем папок ? Что В логах Хьювэя ?