Доброго времени суток.
Подхватил я крайне навязчивого "гада", который осадил папку temp.
Пробовал всё, что только можно. Антивирус говорит, что обезвредил, но через какое то время он снова всплывает.
Само место обитание вируса, а именно папка, не удаляется ничем. Пробовал и сторонние программы, и через безопасный режим, и с помощью Live CD, ничего не помогает.
Требуется помощь профессионалов, поскольку тупа сносить винду, нет особого желания, слишком уж много всего потеряю.
К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mb
dwscanner.log 10,02Мб
5 Скачано раз
hijackthis.log 8,64К
3 Скачано раз
Не убиваемый Trojan.Siggen8.18847
#1
Отправлено 07 Апрель 2019 - 12:03
#2
Отправлено 07 Апрель 2019 - 12:03
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 07 Апрель 2019 - 12:23
К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mbВыложите на файлообменник, например https://disk.yandex.ru/
#4
Отправлено 07 Апрель 2019 - 12:32
Установите обновление
#5
Отправлено 07 Апрель 2019 - 12:38
К сожаление не могу прикрепить файл DrWeb SysInfo, форум ругается, что файл слишком велик 34mbВыложите на файлообменник, например https://disk.yandex.ru/
https://yadi.sk/d/Rab0Tayg4Y2wOA
#6
Отправлено 07 Апрель 2019 - 13:53
Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление
#7
Отправлено 07 Апрель 2019 - 14:14
Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление
это прикроет дыру через которую вирь к вам заселяется, затем повторно пролечиться
Сообщение было изменено provayder: 07 Апрель 2019 - 14:14
#8
Отправлено 07 Апрель 2019 - 14:30
Я так понял это предотвращает появления вируса, но если он уже есть, это не как не скажется на выздоровление
это прикроет дыру через которую вирь к вам заселяется, затем повторно пролечиться
Дыру надеюсь прикрыло, но вот вирус всё так же сидит, и время от времени антивирус выдаёт предупреждение о его нахождении
#9
Отправлено 07 Апрель 2019 - 15:50
Странно то, что в логе dwservice.log полное имя файла
C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile
А в остальных логах:
C:\Users\VESTR\AppData\Local\Temp\1491993\....\TemporaryFile
Возможно, дело в том, что в имени папки запрещённый символ.
#10
Отправлено 07 Апрель 2019 - 16:17
created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files (x86)\Trojan Remover\Rmvtrjan.exe:7148
sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 32, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Trojan Remover\rmvtrjan.exe" /d "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"
created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files\LockHunter\LockHunter.exe:6696
sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0curdir: C:\Program Files\LockHunter\, cmd: "C:\Program Files\LockHunter\LockHunter.exe" "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"
Может временно удалить Trojan Remover и LockHunter, возможно ложное срабатывание Дока на какой то компонент, и понаблюдать будет ли детект.
Сообщение было изменено Dmitry Shutov: 07 Апрель 2019 - 16:17
#11
Отправлено 07 Апрель 2019 - 16:54
created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files (x86)\Trojan Remover\Rmvtrjan.exe:7148
sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 32, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0curdir: C:\Windows\system32\, cmd: "C:\Program Files (x86)\Trojan Remover\rmvtrjan.exe" /d "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"
created process: \Device\HarddiskVolume2\Windows\explorer.exe:1844 => \Device\HarddiskVolume2\Program Files\LockHunter\LockHunter.exe:6696
sid: S-1-5-21-214974389-3930285010-234339336-1000, bitness: 64, ilevel: medium, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0curdir: C:\Program Files\LockHunter\, cmd: "C:\Program Files\LockHunter\LockHunter.exe" "C:\Users\VESTR\AppData\Local\Temp\1491993\....\....\TemporaryFile"
Может временно удалить Trojan Remover и LockHunter, возможно ложное срабатывание Дока на какой то компонент, и понаблюдать будет ли детект.
Уже сделано, я их установил уже после 20 нахождения вируса Dr. Web'ом. Так сказать уже всё подряд начал использовать.
Самое интересное что сами папки ничего не весят, а файл весит 500кб, как будто это облачное хранилище какое то)
shot1.jpg 58,23К
0 Скачано раз
shot2.jpg 55,47К
0 Скачано раз
#12
Отправлено 07 Апрель 2019 - 17:03
А могли бы вы выслать этот файл в облако (фаилобменник), запакуйте а перед этим на время отключите АВ.
#14
Отправлено 07 Апрель 2019 - 17:51
В общем я разобрался со своим визави.
Запустил систему через ERD Commander, переименовал папку, заархивировал(удалив при этом исполняемый файл), и удалил сам архив, всё в папки Temp чисто как после Propera, на вирусы проверил, тоже нЭма) Всем спасибо кто не остался в стороне)
#15
Отправлено 07 Апрель 2019 - 17:52
В DrWeb баг. Он не может удалить файл в папке с именем ....
В командной строке также как на скриншоте выполните команду
dir /x C:\Users\VESTR\AppData\Local\Temp\1491993
Кроме имени .... слева выведется некое ИМЯ~1. Используйте его в команде:
ren C:\Users\VESTR\AppData\Local\Temp\1491993\ИМЯ~1 1
Запустите в сканере DrWeb проверку папки C:\Users\VESTR\AppData\Local\Temp\1491993
#16
Отправлено 09 Апрель 2019 - 18:27
В DrWeb баг. Он не может удалить файл в папке с именем ....
Спасибо за бдительность, поправили
#17
Отправлено 11 Апрель 2019 - 16:10
Выпущено обновление с исправлением.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых