15 ответов в этой теме

[Наталья_F]

Добрый день. В конце декабря вставила в комп флэшку с ключиками (JaCarta), которые мне переписали в удостоверяющем центре. Сразу какой-то процесс запросил доступ в сеть, я заблокировала и проверила антивирусом (ежедневное обновление, все как положено). Обычно проверяю все съемные диски, но жакарта не отображается как диск, да и процесс в сеть запросился моментально. С тех пор не могу избавитья от этой заразы. Вроде лечу – нахожу сканером ДрВеб кучу вирусов (Tool.BtcMine.1010, Bat.Starter.221), он с ними успешно борется, перезагружает комп. Последующая проверка показывает, что все чисто. А через час-два все повторяется снова. ДрВеб блокирует какой-то процесс, потом в корневой папке С появляется архив-приложение dsc12.exe, в C:\Windows появляется lsass.exe (первая буква не i, а именно l), который отображается в Диспетчере задач на вкладке Процессы рядом с обычным lsass.exe, расположенным в C:\Windows\System32. Удалить dsc12.exe не могу, тк файл открыт в "изоляции ключей CNG". После этого обычно выскакивает ошибка "Обнаружена критическая неполадка, система будет автоматически перезагружена через минуту" или просто синий экран смерти. После перезагрузки компа процесс удаления вирусов начинаю заново. Скачивала cureit несколько раз, он тоже все вирусы успешно удалял с последующей перезагрузкой. А через пару часов вирусы появлялись снова, даже без доступа в сеть. По ссылке на Яндекс Диске выложила вчерашние и сегодняшние результаты сканирования в ручном и автоматическом режимах ДрВебом и куррейтом, а также кучу скринов с ошибками и т.д. Буду очень признательна за помощь.

 

https://yadi.sk/d/vlFh_bIw3RJWXJ 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[AndreyKa]

По вашей ссылке ничего нет. Общий доступ для неё включили?

[AndreyKa]

Дошло. Правильная ссылка https://yadi.sk/d/vlFh_bIw3RJWXJ

[AndreyKa]

Загрузите файл C:\windows\temp\xsfxdel~.exe

на https://virustotal.com/

Ссылку с результатом сюда.

 

Троян проникает через уязвимость Windows. Скорее всего MS17-010 EternalBlue

Так что, надо поставить как минимум это:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

Файл C:\dsc12.exe загрузите через форму https://vms.drweb.ru/sendvirus/

Номер тикета, который придёт на почту сюда. Если есть файл C:\dsc.exe туда же загрузите.

[Ivan Korolev]

Установите обновление безопасности MS17-010, после чего сделайте полную проверку и удалите все найденные угрозы.

 

Удалите файлы (предварительно включите отображение скрытых и системных файлов или используйте FAR/Total Commander/etc):

 

C:\WINDOWS\Tasks\RavTask.job

C:\WINDOWS\Tasks\GooglePinginConfigs.job

>Файл C:\dsc12.exe загрузите через форму https://vms.drweb.ru/sendvirus/

>Номер тикета, который придёт на почту сюда. Если есть файл C:\dsc.exe туда же загрузите.

 

Можно не делать, файл уже получил.

 

upd: через пару часов подъедут базы, которые не позволят этой заразе по-новой сесть. Но патч на ОС надо ставить все равно, т.к. иначе рискуете нарваться на шифровальщика или любой другой троян.

Сообщение было изменено Ivan Korolev: 10 Январь 2018 - 07:52

[Наталья_F]

Да, прошу прощения, как-то вставила пробел в конце ссылки и не заметила, хоть и проверяла перед отправкой.

[Наталья_F]

Спасибо. Сейчас попробую все скачать и удалить, что указано. 

Сообщение было изменено Наталья_F: 10 Январь 2018 - 14:55

[Наталья_F]

Файл xsfxdel~.exe не найден по указанному пути C:\windows\temp\xsfxdel~.exe 

[Наталья_F]

Удалите файлы (предварительно включите отображение скрытых и системных файлов или используйте FAR/Total Commander/etc):

 

C:\WINDOWS\Tasks\RavTask.job
C:\WINDOWS\Tasks\GooglePinginConfigs.job

 

В папке нет таких файлов - http://prntscr.com/hyi7az 

[Ivan Korolev]

 

Удалите файлы (предварительно включите отображение скрытых и системных файлов или используйте FAR/Total Commander/etc):

 

C:\WINDOWS\Tasks\RavTask.job
C:\WINDOWS\Tasks\GooglePinginConfigs.job

 

В папке нет таких файлов - http://prntscr.com/hyi7az 

 

 

Ну и ладно Главное обновление безопасности поставьте и потом зачистите все с помощью антивируса.

[Наталья_F]

Да, это все сделала. И ТТТ второй день уже ничего не находится. Спасибо огромное

[Наталья_F]

И вопрос по теме. Как можно проверить флэшки-ключики (жакарты, токены и т.д.) на наличие вирусов, если они не отображаются как съемные носители? Пробовала сейчас сканером с выборочной проверкой – тоже не видит. Мне перезаписали еще налоги, вот боюсь подключать)

[AndreyKa]

И вопрос по теме. Как можно проверить флэшки-ключики (жакарты, токены и т.д.) на наличие вирусов, если они не отображаются как съемные носители? Пробовала сейчас сканером с выборочной проверкой – тоже не видит. Мне перезаписали еще налоги, вот боюсь подключать)

Ключи-токены никакого отношения к теме не имеют. Не хочу гадать, но, видимо, Windows на вашем компьютере пиратский и из-за этого обновления безопасности были отключены сразу после установки. Трудно судить о том, почему проблемы с вирусами совпали с обновлением USB ключа.

[Наталья_F]

Ключи-токены никакого отношения к теме не имеют. Не хочу гадать, но, видимо, Windows на вашем компьютере пиратский и из-за этого обновления безопасности были отключены сразу после установки. Трудно судить о том, почему проблемы с вирусами совпали с обновлением USB ключа

 

ОС была поставлена в салоне при покупке компьютера. Не знаю, какая она, но я сама ничего не отключала. И все же – как проверить вновь прописанный токен на наличие вирусов? Это, как ни крути, носитель информации, который побывал на чужом компе и туда что-то записали. Но в съемных носителях моего компьютера он не виден. Хотелось бы удостовериться, что на флэшку помимо ключиков ничего не записалось, т.к. сайт оператора лежал из-за хакерской атаки несколько месяцев назад.

[Dmitry_rus]

Этот носитель информации не определяется как съемный носитель, соответственно, оттуда ничего запущено быть не может. Работа с ним возможна только с помощью специализированного ПО, которое также не предполагает запуск чего бы то ни было с этого носителя. Поэтому ваши опасения беспочвенны.

Проблема решена, тема закрыта.