15 ответов в этой теме

[Leksey]

Читал правила, видел что нужно собрать пачку логов, но к сожалению не все вышло. Ниже опишу в чем проблема

1) В хроме и браузере яндекс почти на каждой странице висят банеры, одни и те же на всех сайтах. 

С этим более менее справиться удалось, путем тупого удаления браузеров. 

2) Попытался как написано в описании к разделу собрать логи. Скачиваю необходимые программы - закачка идет до конца, в конце подвисает, пишет что прервано или еще что нибудь в этом духе. Пытаюсь восстановить закачку - ничего не докачивает, все файлы остаются поврежденными. Благо на харде был CureIt, запускаю его, начинается проверка, через 30 секунд выдает "произошла ошибка при запуске программы" "код ошибки: 1722"

3) Лог hijack 

4) Лог DrWeb Sysinfo

 

На логи ссылка в майловском сервисе облако. Прикрепить сюда тоже не получилось, при загрузке выдает ошибку 500

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[fetch]

C:\ext\Instplug.exe на вирустотал залейте (virustotal.com)

[lazarevee]

Благо на харде был CureIt, запускаю его, начинается проверка, через 30 секунд выдает "произошла ошибка при запуске программы" "код ошибки: 1722"

 
Что значит на хабре, там ссылка была ? CureIt пересобирается каждые ~5 часов, и какой то старый качать нет смысла. Лучше скачать с другого компа.
Запустите HijackThis и удалите эту службу (как показано на скрине).

Spoiler

 scdel.png   39,22К   6 Скачано раз

O23 - Service: WindowsMangerProtect Service (WindowsMangerProtect) - Fuyu LIMITED - C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exeC:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe
Так же выбрать Scan - отметить такие строки и нажать Fix Checked

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405544055&from=cor&uid=TOSHIBAXMQ01ABF032_Y3K8C7ANTXXY3K8C7ANT
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405544055&from=cor&uid=TOSHIBAXMQ01ABF032_Y3K8C7ANTXXY3K8C7ANT&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1405544055&from=cor&uid=TOSHIBAXMQ01ABF032_Y3K8C7ANTXXY3K8C7ANT

[lazarevee]

updatetask.exe c:\users\xxx-xxx\appdata\roaming\digita~1\update~1\update~1.exe - открыть Панель управления\Все элементы панели управления\Администрирование\Планировщик заданий

и удалить задания - UpdaterEX.job и Digital Sites.job

updatedealkeeper.exe c:\program files (x86)\deal keeper\updatedealkeeper.exe - деинсталировать через - Панель управления\Все элементы панели управления\Программы и компоненты

Повторить все логи и выложить.

[Leksey]

 

 

Что значит на хабре, там ссылка была ? CureIt пересобирается каждые ~5 часов, и какой то старый качать нет смысла. Лучше скачать с другого компа.

 

хаРД, жесткий диск,  хабр тут не причем. Скачал последнюю версию на другом компе, скинул на флешке. Результат тот же.

 

 

1) Делаю как на картинке с WindowsMagerProtect, Hijack пишет "the service 'WindowsMagerProtect' is enabled and/or running, Disable it first, using HijackThis itself (from the scan results) or the Services.msc window." Если честно, по не опытности вообще не понимаю что от меня требуется в связи с этим.

 

2) выбрал скан, отметил необходимые строки, нажал Fix Checked. Все прошло успешно.

 

3) лог DrWeb Sysinfo

 

4) лог Hijackthis

 

5) CureIt по прежнему запустить не удалось

[lazarevee]

хаРД, жесткий диск,  хабр тут не причем.

 

   Что то я не того прочитал..

запустите командную строку от имени администратора и введите

sc stop WindowsMangerProtect & sc delete WindowsMangerProtect

Распакуйте архив forum_drweb.zip , в его же папку forum_drweb поместите cureit и переименуйте в scanner.exe , так же положите и hijackthis - запустите командный файл - forum_drweb.cmd от администратора

если пройдёт успешно, откроется папка с логами - надо приложить на форум файл с именем ПК XXX_.cab

Если не запустится, то скачать и запустить - http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe

[Leksey]

Запустить таки не удалось(

Скачал фикс, запустил. Вроде все прошло нормально, попытался еще раз запустить Ваш скрипт - тоже безрезультатно.

Из положительных моментов, начали загружаться файлы. Но по прежнему в хроме висят банеры рекламы на всех страницах

[SergM]

Блин, в логах куча рекламного хлама.... никто не видит? 

[SergM]

1. Удалить задание GlaryInitialize 5.job

2. В HJ пофиксить:

 - O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)

- O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (filesize 1586896 bytes, MD5 E9AC4D216473678EF95CA52717119D29)
- O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
- O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
- O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (filesize 1586896 bytes, MD5 E9AC4D216473678EF95CA52717119D29)

 

- O4 - HKLM\..\Run: [Guard.Mail.ru.gui] "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /gui (filesize 1749712 bytes, MD5 BF813176EAE3EBFDACD69FBD09D13F56)
- O4 - HKCU\..\Run: [MailRuUpdater] C:\Users\xxx-xxx\AppData\Local\MailRu\MailRuUpdater.exeC:\Users\xxx-xxx\AppData\Local\MailRu\MailRuUpdater.exe

- O4 - HKCU\..\Run: [stuffs] C:\ext\Instplug.exe

- O4 - Global Startup: Mail.Ru Cloud.lnk = C:\Users\xxx-xxx\AppData\Local\Mail.Ru\Cloud\Cloud.exe (filesize 29312032 bytes, MD5 F682CB4B02D6FB5D5995F368E49B3BAC)

- O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exeC:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe

[Leksey]

Наверное все дело в моей рукожопсти, но в HiJack делаю скан, выбираю нужные пункты, а кнопочка fix checked не становиться активной. Что я мог сделать не так?

[Полимер]

кнопочка fix checked не становиться активной

Попробуйте запустить HijackThis под админом.

[Leksey]

Получилось пофиксить. 

Реклама в хроме не пропала, по прежнему не запускается CureIt

лог hijack

лог DrWeb Sysinfo 

 

Есть такой вариант, есть комп с линукс дистрибутивом (ubuntu) , может через нее просканировать зараженный винт? Как считаете, поможет или без толку? 

[Полимер]

Leksey, Еще пофиксить:

O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL

[Leksey]

Реклама из хрома пропала. Это уже радует. CureIt по прежнему не запускается, код ошибки 1722. Что еще можно попробовать сделать? 

[SergM]

Что еще можно попробовать сделать?

Попробуйте Dr.Web® LiveCD\LiveUSB

Перед сканированием настроить сеть и обновить базы

Как это работает