26 ответов в этой теме

[YuryW]

На знакомом компе появился банер-вымогатель. Он отличается от WinLock. Он появляется в браузерах (во всех) не на всех страничках, а страницах, где есть почта (Yandex, mail.ru, gmail.com и т.д.) и на страницах соц.сетей. Пишет, что наблюдается повышенная активность с Вашего IP-адреса и для проверки нужно указать номер моб.телефона. После чего на телефон приходит смс с кодом, который надо ввести.. Понятно, что производится попытка подписать на платные услуги. Непонятно только где сидит эта зараза. DrWeb последний, быстрая проверка, проверка C:\Users и C:\Windows ничего не дала (уж поверьте на слово). Вот логи, которые удалось сделать. RKU запустить не удалось.
Да еще... Создал нового пользователя - там все чисто работает.

Лог, созданный dwsysinfo.exe, отправит не могу - он размером чуть больше 8Мб, пишет: Error This file was too big to upload

Прикрепленные файлы:

•  gmer.rar   3,09К   4 Скачано раз
•  hijackthis.rar   3,26К   9 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[l.e.e.]

быстрая проверка, проверка C:\Users и C:\Windows

С проверкой архивов C:\Users будет иметь место. Этот лог был бы кстати.

[mrbelyash]

если не влзит, то лог на www.rghost.ru и сюда ссылку

[YuryW]

http://rghost.ru/42102618 Лог здесь
А вот лог DrWeb смогу сделать не раньше вторника, когда получу доступ к компу..

[l.e.e.]

c:\users\galson\appdata\ - тут проверку с архивами
java 6 - удалите c:\program files\java\jre6\ и если она нужна зайдите на www.java.com и скачайте последнюю версию.

[thyrex]

В каком браузере проблема?

[YuryW]

В любом

[thyrex]

Для хрома найдите и отключите дополнение OEHuBtaLcK 14.57
Для Опера возможный виновник файл userscript.js
Для Firefox тоже искать либо какой-то скрипт, либо какое-то дополнение и расширение

[YuryW]

Поищу, конечно, но сдается мне, что это одна зараза где-то сидит, а не расширение для каждого браузера. За совет спасибо, поищу..

[mrbelyash]

http://wiki.drweb.com/index.php/Userinit3

возможно DNS

[thyrex]

сдается мне, что это одна зараза где-то сидит

Ну как знаете. Те, кто обращался на оффоруме ЛК или на Вирусинфо, именно об этом и говорили

[YuryW]

Спасибо всем за ваши советы. Все это будет в обязательном порядке опробовано во вторник, как только получу доступ к компьютеру

[v.martyanov]

Логи Hijack и ipconfig хочу.

[YuryW]

Так есть же Hijack..

[v.martyanov]

Точно, а я его в большом архиве искал... Сидите в инете через роутер?
ipconfig /all >C:\ip.log выполните и пришлите C:\ip.log

[thyrex]

Касперский уже должен детектировать

[YuryW]

Вот ОНО - http://habrahabr.ru/post/162075

[thyrex]

Да, именно об этом я и говорил

[l.e.e.]

YuryW,  cureit7-scan+.7z   304,24К   1 Скачано раз 4 лога за 15 мин.
script text

Spoiler

echo %HOMEDRIVE%\users>>%temp%\critical.txt
echo %allusersprofile%>>%temp%\critical.txt

scanner.exe /AA /AR /OK /BI- /TB /TM /TS /TR /RP:.\litescan.log /quit
scanner.exe /AA /AR /OK /BI- /RP:.\userscan.log /FL-:%temp%\critical.txt /quit

ver>.\x-info.log
set >>.\x-info.log
dir %windir% /a /o:g-d /-c | xcode +a -w -p >> .\x-info.log
dir %windir%\system32 /a /o:g-d /-c | xcode +a -w -p >> .\x-info.log
dir %windir%\system32\drivers /a /o:g-d /-c | xcode +a -w -p >> .\x-info.log
dir %temp% /a /o:g-d /-c | xcode +a -w -p >> .\x-info.log
dir %AppData% /a /o:g-d /-c | xcode +a -w -p >> .\x-info.log
dir .\ /a /-c | xcode +a -w -p >> .\x-info.log
if exist .\HiJackThis.exe .\HiJackThis.exe /silentautolog
ipconfig /all | xcode +a -w -p >>.\ipconfig.log

логи кодируются из 866 в 1251 в читабельный вид.
 cureit+.png   8,76К   0 Скачано раз

Сообщение было изменено lazarev.ee: 11 Декабрь 2012 - 08:16