Всех приветствую!
Отправлено 02 Август 2017 - 10:55
Всех приветствую!
Отправлено 02 Август 2017 - 10:55
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Отправлено 02 Август 2017 - 11:36
victor321, зверинец тот ещё, в топку
мой девиз - служение злу, как у котика..
Отправлено 02 Август 2017 - 13:44
Вот это:
O4 - HKLM\..\Run: [svchost] C:\Windows\svchost.exeчто такое и зачем?
ветку реестра зачистил, перезагрузился, все без изменений
файла svchost.exe по указанному пути небыло
Может есть еще какие-то идеи?
Отправлено 02 Август 2017 - 14:02
ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.
Отправлено 02 Август 2017 - 14:14
ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.
локальные политики не работают по причине блокировки gpt.ini чем-то, там вообще пустые папки C:\Windows\SysWOW64\GroupPolicy* C:\Windows\System32\GroupPolicy*
доменные политики - дефолтовые, но и они не отрабатывают
если смотреть в реестре software restriction policy - все чисто и на уровне пользователя и на уровне компьютера
file screening файлового сервера тоже пустые
но какой-то процесс блокирует некий перечень файлов и ни один антивирус его не может найти
Отправлено 02 Август 2017 - 15:31
Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 02 Август 2017 - 16:27
Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?
windows 2012 r2 64 bit
Отправлено 02 Август 2017 - 16:35
Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.
Отправлено 02 Август 2017 - 19:05
Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?
GMER нашел 4 подозрительные службы (printspooler, google update, ...), службы были отключены и удалены
Последний скан GMER - в аттачке
Проблема осталась
Отправлено 02 Август 2017 - 19:08
Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.
все папки temp удалил - и в профиле пользователя и в c:\windows
эффекта ноль
Отправлено 03 Август 2017 - 10:42
Отправлено 03 Август 2017 - 13:21
www.xuetr.com - скачать PCHunter1.51Examination -> Hide safe items -> Generate examination report -> Export examination reportЛог прицепите сюда
В аттаче результаты сканирования. Спасибо!
Еще одно уточнение - все проверки-сканы делаю в Safe Mode
Отправлено 03 Август 2017 - 19:44
все проверки-сканы делаю в Safe Mode...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.
Отправлено 03 Август 2017 - 20:10
все проверки-сканы делаю в Safe Mode...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.
Вирус активен в Safe Mode, зачем усложнять и сканировать в обычном режиме?
В том-то и дело что он где-то закопался в самых базовых сервисах-процессах
Сообщение было изменено victor321: 03 Август 2017 - 20:11
Отправлено 04 Август 2017 - 12:20
Отправлено 04 Август 2017 - 13:13
т.е. на данный момент если запустить cmd.exe и выполнитьcd %temp%echo aaa > dwengine.exeecho aaa > procexp.exeecho aaa > filemon.exeecho aaa > wscript.exeни один файл создать не получится? ни под юзером, ни под админомА если создать произвольный файл и через PCHunter-а (раздел File) его переименовать в "запрещенное" имя, получится?И получится ли скопировать c:\windows\system32\wscript.exe в другое место, с другим именем
filemon.exe - создается, остальные - нет, ну и есть еще ряд блокируемых файлов (результаты в аттачке)
По поводу второй части вопроса
произвольный файл можно создать в explorer-е даже и переименовать в "запрещенное" имя
после переименования, файл перестанет запускаться с ошибкой access denied 5
c:\windows\system32\wscript.exe я уже удалил, можно взять с другой машины, под другим именем будет запускаться
cureit работает c рандомным именем
procexp - тоже, переименовываю, тогда запускается
но дистрибутивы антивирусов не проставить
Сообщение было изменено victor321: 04 Август 2017 - 13:16
Отправлено 04 Август 2017 - 17:03
Похоже какой-то косяк в PCHunter-е. Минифильтры в отчет не попадают. Повторите еще раз:
0 пользователей, 0 гостей, 0 скрытых