6 ответов в этой теме

[awatoto]

Добрый день, нужна помощь в выявлении вируса или кода программы действуующего на компе с Windows 7 home ext x64/ Обо всем по порядку:

 

При работе в инете через Эксплорер появился баннер-вымогатель на 2000 рублей. Его удалось удалить. Стоит лицензионный ДРвеб с полными обновлениями - как ни находил ничего до возникновения баннера, так и после обновления ничего не находит. Однако в системе произошли изменения:

 

1. перестала работать программа одного из банк-клиентов. Выдает ошибку проверки крипто-ключа через WBEM.

2. перестал работать другой интернет-банк клиент. Выдает ошибки загрузки xml-файлов.

3. проверяли систему ДРВЕБ LiveUSB и Cureit ничего не нашли.

4. тогда снес установленный дрвеб и поставил антивирус касперского, обновил - также ничего не нашел. Произвел в нем необходимые действия по восстановлению системы после действия вирусов. Опять ничего.

5. снес касперского и начал заново устанавливать лицензионный drweb security space pro 7. Во время установки на этапе "обновления компонентов" прогресс бар "заело" (он то рвался вперед - то откатывался назад и никак не мог поставиться - ждал 5 минут и начал действовать).

   - запустил диспетчер задач и стал удалять те процессы которые могли быть задействованы - ничего не помогало - прогресбар также дергался. Последним удалил  winlogon и компьютер перестал реагировать на любые действия. Ни запустил заново оболочку, нереагировал на ctrl-alt-del. прошло еще минуты 3 и я перезагузил компьютер принудительно. И о чудо после перезагрузки drweb оказался установленным. Обновил его - но все осталось по прежнему.

 

----------------- по логам -----------

1.drweb-scan.bat в cmd выдавал очень много ошибкои и ничего не находил, поэтому скачал и выполнил все по инструкции cureit-scan.bat

2. glavbuh_техпром ... - лог dwsysinfo.exe

3. есть лог хайджека

4. РКУ лога нет - при загрузке его под различными именами выдает 2 сообщения:

information: Failed to enable debug privilege, not critical issue. и затем
Ошибка: Error, load driver privilege not adjusted

возможно из-за того что операциона 64-разрядная (раньше им не пользовался не знаю)

 

действия с моей стороны - либо ждать пока "вирус" будт найден либо переустанавливать систему с форматированием диска, но опять таки нет гарантии что при запуске оставшихся от старой системы файлов этот вирус вновь не активизируется.

 

Помогите плиз...

Прикрепленные файлы:

•  GLAVBUH_техпром_070313_112959.zip   6,96Мб   1 Скачано раз
•  cureit-results.cab   24,86К   2 Скачано раз
•  hijackthis.rar   3,78К   5 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[AndreyKa]

Пофиксить строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF1E78C3-BCDF-4559-80CE-90E083CAC343}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178
O17 - HKLM\System\CS2\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178

 

Настроить DNS сервер как следует.

Adobe Acrobat Reader и Java поставить свежие.

[Sybiryak]

Пофиксить строки:

 

O16 - DPF: {113E52A8-A790-4B13-B5F8-B17BD5617707} (rg_call) - https://ibank.akbars.ru/CODE/3.17.9.1370/cr_call.cab

O16 - DPF: {1718AE39-27D2-459E-AFCD-E67211F1FE34} (rg_ccm3x) - https://ibank.akbars.ru/CODE/3.17.7.1220/cr_ccm3e.cab

O16 - DPF: {34E60EF0-8825-4AD8-ABED-ADC2F358F2C9} - https://ibank.akbars.ru/CODE/3.17.9.1370/bsssl.cab

вот это тоже пофиксить....

Сообщение было изменено Sybiryak: 07 Март 2013 - 13:53

[Sybiryak]

Пофиксить строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF1E78C3-BCDF-4559-80CE-90E083CAC343}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178
O17 - HKLM\System\CS2\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178

 

Настроить DNS сервер как следует.

Adobe Acrobat Reader и Java поставить свежие.

а зачем ему акробатику?    Пусть ставить в браузере следующие расширение: "Adblock Plus"; "Anti-Porn Pro - The best Anti-Porn addon!"; обнови java и будет вам счастья.

[v.martyanov]

Затем, что в акробате каждую неделю дыру находят.

[l.e.e.]

<OperaSettings>
        <IniFile Filename="C:\Users\техпром\Application Data\Opera\Opera\operaprefs.ini">
            <Section Name="User Prefs">
                <Value Name="Home URL" Value="http://dubsearch.ru" />

<Preferences Path="C:\Users\техпром\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js"
                <UserPreference Name="startup.homepage_override_url" Value='&quot;http://dubsearch.ru&quot;' />

 

В браузерах смотреть это.

 

 

O20 - Winlogon Notify: ScCertProp   - Invalid registry found

В хайджеке пофиксить.

 

msinfo32report.nfo=11 кб. почему то..

Сообщение было изменено lazarev.ee: 07 Март 2013 - 15:10