20 ответов в этой теме

[ZeroViPhantom]

По ошибке создал тему в другой ветке "https://forum.drweb.com/index.php?showtopic=335995&st=0&gopid=900781&#entry900781"повторюсь здесь.

На днях подхватил вирус, CPU загружался под 100% при выключенном Диспетчере задач. Файл hosts был изменён, не открывались различные сайты с антивирусами, Диспетчер задач закрывался каждые 3 минуты. Нашел папки с вирусами, как я думал и удалил эти папки (наверное зря так сделал), вирус маскировался под Realtek HD audio.

Сейчас собрал логи по инструкции, архив прикрепил. Так же в реестре были сделаны изменения вирусом, что я заметил это не устанавливались антивирусные программы, убрал в реестре эти ограничения. Сейчас всё равно нет доступа к некоторым сайтам, возможно в реестре всё ещё находятся различные ограничения (найти не могу). Сканер ругался на Grafana, это программа визуализации метрик, нужна по учёбе. 

Очень долго сканировался файл по пути: C:\WINDOWS\system32\drivers\RTKVHD64.sys и C:\Windows\System32\smss.exe:736 если вдруг это важно...

Прикрепленные файлы:

•  forum_drweb.rar   2,47Мб   3 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Ivan Susloparov]

Соберите логи утилитой: https://drw.sh/cehwze, отчет можете залить на яндекс/гугл диск

[ZeroViPhantom]

Соберите логи утилитой: https://drw.sh/cehwze, отчет можете залить на яндекс/гугл диск

Компьютер зависает на этапе обработки "Загрузочные секторы дисков" жду уже 10 минут, мышка двигается, диспетчер задач не реагирует, время на ПК не идёт, что делать?

Сообщение было изменено ZeroViPhantom: 05 Август 2022 - 18:35

[ZeroViPhantom]

Прошло 30 минут, стоит ждать ещё или перезагрузить ПК кнопкой на системника? Мышка всё ещё двигается, при наведение на окно Dr.Web Fix меняется указатель мышки на вращающийся.

[ZeroViPhantom]

Наткнулся на пользователя управления удаленным рабочим столом, что делать? Скрин приложил.

Прикрепленные файлы:

•  Снимок экрана 2022-08-06 105747.png   26,57К   2 Скачано раз

Сообщение было изменено ZeroViPhantom: 06 Август 2022 - 09:59

[ZeroViPhantom]

Заметил скрытые папки Антивирусных систем, так понимаю вирус их создал, чтобы антивирусники не установились. Пока что не удаляю их, что делать?

Прикрепленные файлы:

•  Снимок экрана 2022-08-06 112040.png   84,02К   1 Скачано раз

[Ivan Susloparov]

Прошло 30 минут, стоит ждать ещё или перезагрузить ПК кнопкой на системника? Мышка всё ещё двигается, при наведение на окно Dr.Web Fix меняется указатель мышки на вращающийся.

Пробовали запустить вновь после перезагрузки?

[ZeroViPhantom]

 

Прошло 30 минут, стоит ждать ещё или перезагрузить ПК кнопкой на системника? Мышка всё ещё двигается, при наведение на окно Dr.Web Fix меняется указатель мышки на вращающийся.

Пробовали запустить вновь после перезагрузки?

 

Да, даже пробовал с другого пользователя запускать

[ZeroViPhantom]

Может ли быть из-за того, что имеется несколько физических дисков? 2 HDD и 1 SSD (на котором находится Windows)

[Taras Tarasov]

Чтобы разобраться с проблемой, необходимо собрать полный дамп памяти после зависания сбора информации. Для этого:

 

1. Добавить в реестр параметр активации опции "Ручной BSOD", исходя из типа подключения используемой клавиатуры:

PS/2:

Ключ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\i8042prt\Parameters

Параметр

CrashOnCtrlScroll

Тип

REG_DWORD

Значение

1

Данная опция доступна для операционных систем Microsoft Windows 2000/XP/Vista/7/8.

 USB:

Ключ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kbdhid\Parameters

Параметр

CrashOnCtrlScroll

Тип

REG_DWORD

Значение

1

 

2. Настроить систему на сбор полного дампа памяти

- Панель управления - Система - Дополнительные параметры системы - В разделе "Загрузка и Восстановление" нажать кнопку "Настройка"

- В выпадающем меню "Запись дампа памяти" выбрать "Полный дамп памяти", ниже указать папку, куда будет сохранен файл дампа. Удобно прописать просто С:\

- ВНИМАНИЕ! Если опции "Полный дамп памяти" в списке нет, необходимо внести изменения в реестр и перезагрузить ОС. После этого опция появится в списке. В реестре: HKLM\System\CurrentControlSet\Control\CrashControl    -     значение параметра CrashDumpEnabled измените на «1».

- Сохранить настройки

 

3. Перезагрузить операционную систему.

 

4. Воспроизвести ошибку (компьютер завис на стадии сбора данных о загрузочных секторах дисков)

 

5. Нажать комбинацию клавиш «RightCtrl + ScrollLock (double)» (необходимо использовать правый «Ctrl»). Возникнет "синий экран смерти", соберется дамп, запишется в папку, указанную в шаге 2 (в примере указанная папка - корень диска С). 

 

6. После окончания сбора дампа перезагрузиться, найти записанный файл дампа вида MEMORY.DMP и прислать его в техподдержку.

Сообщение было изменено dizzy1978: 08 Август 2022 - 14:34

[NickM]

Чтобы разобраться с проблемой, необходимо собрать полный дамп памяти после зависания сбора информации. Для этого:

С какой проблемой Вы собрались разбираться?

 

Здесь активное заражение, систему требуется "пролечить", ZeroViPhantom, как можно скорее, следует обратиться на профильные форумы по "лечению" (если у самого не хватает квалификации), а он третий день пытается запустить утилиту Dr.Web.

 

Эти майнеры агрессивные, и часто дают отпор разным родам антивирусным утилитам.

Сообщение было изменено NickM: 08 Август 2022 - 14:46

[ZeroViPhantom]

Чтобы разобраться с проблемой, необходимо собрать полный дамп памяти после зависания сбора информации. Для этого:

 

 

Конечно попробовал бы использовать ваш совет, но на форуме есть такая информация:

 

Можно доверять советам:
- Хелперов
- Dr.Web Staff
- Администраторов
- Модераторов

[Vladislav Obrazcov]

Дамп ручного BSOD по инструкции Taras Tarasov (прошлое имя dizzy1978, статус Dr.Web Staff в процессе выдачи) или https://forum.drweb.com/index.php?showtopic=324994действительно надо сделать, чтобы понять, почему " Компьютер зависает на этапе обработки "Загрузочные секторы дисков""

Сообщение было изменено Vladislav Obrazcov: 08 Август 2022 - 15:17

[Ivan Korolev]

NickM, если вы не в состоянии сказать ничего полезного по сути проблемы, тогда не пишите ничего.

 

Здесь тоже вполне успешно оказывается помощь людям в лечении заражения.

[ZeroViPhantom]

Выполнил дамп памяти, файл оказался размером чуть больше 16г, в архиве при обычном сжатии занимает примерно 3.5г. Сжимать его сильнее или заливать на файлообменник таким??

И не подскажите файлообменник с большой пропускной способностью? на Гугл Диск будет заливаться чуть больше 30 минут. Скорость моего интернета не используется на максимум*

Сообщение было изменено ZeroViPhantom: 08 Август 2022 - 16:05

[Ivan Korolev]

Выполнил дамп памяти, файл оказался размером чуть больше 16г, в архиве при обычном сжатии занимает примерно 3.5г. Сжимать его сильнее или заливать на файлообменник таким??

 

Заливать таким. Ссылку тут не публикуйте, отправьте в личные сообщения Vladislav Obrazcov или Taras Tarasov

[NickM]

NickM, если вы не в состоянии сказать ничего полезного по сути проблемы, тогда не пишите ничего.

Здесь тоже вполне успешно оказывается помощь людям в лечении заражения.

Хорошо, воздержусь, но понаблюдаю за развитием событий в разрешении вопроса с надеждой, что Вы сможете оттестировать утилиту на пользователе и улучшить её.

Сообщение было изменено NickM: 08 Август 2022 - 16:20

[Taras Tarasov]

Дамп получен, разбираемся.

[NickM]

ZeroViPhantom, минула неделя, как дела с Вашим заражением?

Утилита от "DrWeb" Вам помогла в разрешении вопроса?