Перейти к содержимому


Фото
- - - - -

Прошу помощи с выявлением вируса

вирус

  • Please log in to reply
15 ответов в этой теме

#1 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Июнь 2020 - 11:17

Здравствуйте, сперва были проблемы с открытием сайтов, писал, что не может установить IP, в файле HOSTS оказалось много редиректов на 127.0.01, удалил их, но нестабильная работа в браузере осталась, начали виснуть онлайн-доски, критично для работы.
Также перестал быть доступен интерфейс wi-fi роутера по адресу http://m.home/, при переходе ошибка DNS_PROBE_FINISHED_NXDOMAIN, работает через  http://192.168.0.1/

Перед возникновением проблемы обновлял программы от Iobit: SystemCare и Driver Booster, затем обновил драйвера на видеокарту NVIDIA и Realtek. Был антивирус 360 total security.
Далее попытался установить другой антивирус, но при установке dr web дальше создания точки восстановления пройти не удавалось, был 16 код ошибки, другие антивирусы тоже не ставились, нашел в реестре и удали всё по пути: Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun. Там были прописаны названия ексешников антивирусов, получилось установить dr web. Более ручных изменений не вносил.
Антивирус выявил проблемы:
инфицированный контейнер rdpwrap, ругался на rdpwrap.dll, файлы install.bat, reg1.reg (похоже на https://vms.drweb.ru/virus/?i=18520696&lng=ru), файл realtek, файлы от iobit, все вылечил, удалил эти программы.

Сделал тесты по инструкции, но и с ними были проблемы (error.JPG)
HiJackThis.log
dwsysinfo: https://yadi.sk/d/p0xTMLOiymVAGA
Часть файлов и программ удалил или переместил до всех тестов, есть 2 файла результатов CureIT (не знаю, нужен ли cureit_before_moveFiles.log):
cureit.log: https://yadi.sk/d/0VG9RMOfZ8jb3w
cureit_before_moveFiles.log: https://yadi.sk/d/On_iTbIGTADvsQ
сделал ещё ipconfig (ipc.log), в конце sfc /scannow (CBS.log).
Что следует сделать дальше? Может быть установить и запустить Farbar Recovery Scan Tool? Желательно без переустановки винды, так как есть активированная цифровая подпись.

Прикрепленные файлы:

  • Прикрепленный файл  ipc.log   4,06К   1 Скачано раз
  • Прикрепленный файл  error.JPG   35,83К   0 Скачано раз
  • Прикрепленный файл  HiJackThis.log   36,19К   2 Скачано раз
  • Прикрепленный файл  error.JPG   35,83К   0 Скачано раз
  • Прикрепленный файл  ipc.log   4,06К   0 Скачано раз
  • Прикрепленный файл  HiJackThis.log   36,19К   0 Скачано раз
  • Прикрепленный файл  CBS.log   95,23К   0 Скачано раз


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 754 Сообщений:

Отправлено 09 Июнь 2020 - 11:17

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 021 Сообщений:

Отправлено 09 Июнь 2020 - 12:04

Для начала давайте проверим общую стабильность соединения. Хотя бы так (в консоли):

ping ya.ru -l 400 -t

Вместо ya.ru можете подставить нужный hostname. Если будут выпадения пакетов, в 1-ю очередь смотрите на сетевое оборудование. Роутер я бы на всякий случай перезагрузил, чтобы исключить его из возможных виновников.



#4 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Июнь 2020 - 14:18

Для начала давайте проверим общую стабильность соединения. Хотя бы так (в консоли):

ping ya.ru -l 400 -t

Вместо ya.ru можете подставить нужный hostname. Если будут выпадения пакетов, в 1-ю очередь смотрите на сетевое оборудование. Роутер я бы на всякий случай перезагрузил, чтобы исключить его из возможных виновников.

 

Статистика Ping для 87.250.250.242:
    Пакетов: отправлено = 1492, получено = 1476, потеряно = 16
    (1% потерь)
Ответ от 87.250.250.242: Приблизительное время приема-передачи в мс:
    Минимальное = 86мсек, Максимальное = 1004 мсек, Среднее = 156 мсек.

Пробую другие сайты, в целом все похоже, среднее бывает более 200мсек, потерь бывает меньше.
Статистика Ping для 195.201.169.122:
    Пакетов: отправлено = 96, получено = 96, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 137мсек, Максимальное = 888 мсек, Среднее = 218 мсек


#5 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 021 Сообщений:

Отправлено 09 Июнь 2020 - 14:55

Достаточно большие пинги и разброс. Подключаетесь по wi-fi или через мобильного оператора? По крайней мере, резолв имени в IP идет нормально. Сейчас проблемы сохраняются? Они проявляются во всех браузерах, включая "встроенный" MSIE, и со всеми сайтами? 



#6 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Июнь 2020 - 15:10

Достаточно большие пинги и разброс. Подключаетесь по wi-fi или через мобильного оператора? По крайней мере, резолв имени в IP идет нормально. Сейчас проблемы сохраняются? Они проявляются во всех браузерах, включая "встроенный" MSIE, и со всеми сайтами? 

 

Через мобильного оператора, проблемы сохраняются, онлайн-платформа работает только через гугл хром, в нем бывает сильно тормозит соединение, при этом уровень сигнала и скорость соединения не падает, проверяю через интерфейс роутера, также проверял отдельно через телефон. Проблемы с соединением и в файрфокс, и в MSIE.



#7 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 021 Сообщений:

Отправлено 09 Июнь 2020 - 15:18

Уровень сигнала и скорость соединения малоинформативны при работе через сотовых операторов. У опсосов приоритет всегда отдается голосовому трафику, так что если абоненты в основном разговаривают, то со скоростью передачи данных будут проблемы. Или если "качальщиков" на данной соте много, то проблемы те же. Каких-то специфических проблем именно с этим ПК пока не вижу. Есть возможность (для чистоты эксперимента) проверить скорость через сервисы типа 2ip.ru, и подключить к роутеру другой ПК/ноутбук?



#8 santy

santy

    Member

  • Posters
  • 218 Сообщений:

Отправлено 10 Июнь 2020 - 05:57

конечно, здесь желательно логи FRST и образ автозапуска uVS



#9 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 10 Июнь 2020 - 08:34

проблемы с запуском других антивирусов сохраняются: не получается установка Malwarebytes, avast, касперского.

логи FRST и образ uVS

Прикрепленные файлы:



#10 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 10 Июнь 2020 - 13:18

получилось начать установку Malwarebytes в другую папку C:\Program Files\test, в путь по умолчанию не ставится, пишет не найден путь, но после трех перезагрузок Malwarebytes не смогла установиться, зато тут же начала устанавливаться avast, хотя не запускал её установку, установилась, запустил проверку файлов...



#11 Vvvyg

Vvvyg

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Июнь 2020 - 07:44

Остатки блокировок остались и хвосты от 360 Total Security.

 

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3409794065-3177646272-3048532489-1001\...\Policies\Explorer: [DisallowRun] 1
GroupPolicy: Restriction ? <==== ATTENTION
Task: {B432DE93-A5B0-4B81-AC6A-CF050BDE66E7} - System32\Tasks\KMSAutoNet
S2 MBAMInstallerService; C:\Program Files\Malwarebytes\MBAMInstallerService.exe [X]
2020-06-07 14:58 - 2020-03-03 16:38 - 000000000 __SHD C:\rdp
2020-06-07 14:58 - 2020-03-03 16:38 - 000000000 __SHD C:\ProgramData\Windows
2020-06-07 14:57 - 2020-03-03 16:38 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-06-06 11:26 - 2018-11-09 10:12 - 000000000 __SHD C:\ProgramData\360Quarant
2020-06-06 11:26 - 2018-11-09 10:12 - 000000000 __SHD C:\$360Section
2020-06-04 22:31 - 2020-03-03 16:38 - 000000000 __SHD C:\ProgramData\WindowsTask
AS: 360 Total Security (Enabled - Up to date) {91AD8F88-E316-BC3A-E0A3-9F4C5B36A8D0}
FirewallRules: [{F7BC30D2-3DA9-44DA-B6ED-E8FE7E7597A8}] => (Block) LPort=445
FirewallRules: [{07E930DC-9AE3-4BDB-8D3E-070856B2513C}] => (Block) LPort=445
FirewallRules: [{A40BAA61-883B-412F-823E-E45D543BDB2D}] => (Block) LPort=139
FirewallRules: [{421FD48B-23F5-4A5B-8125-2CCB95C5C7A4}] => (Block) LPort=139
FirewallRules: [{7D3B4F75-B237-49E7-9DD3-809C6E8A8CD5}] => (Allow) LPort=3389
FirewallRules: [{C15EBE4B-A047-42BF-80C8-E4945D220683}] => (Allow) LPort=3389
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


#12 Vvvyg

Vvvyg

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Июнь 2020 - 08:40

Исключите из фикса строку:

Task: {B432DE93-A5B0-4B81-AC6A-CF050BDE66E7} - System32\Tasks\KMSAutoNet


#13 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 11 Июнь 2020 - 10:17

 

Исключите из фикса строку:

Task: {B432DE93-A5B0-4B81-AC6A-CF050BDE66E7} - System32\Tasks\KMSAutoNet

Спасибо, прикрепил fixlog. Точка восстановления не создается, как здесь, так и при работе с dr web

Прикрепленные файлы:

  • Прикрепленный файл  Fixlog.txt   3,34К   2 Скачано раз


#14 dman54

dman54

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 12 Июнь 2020 - 19:16

часть папок заблокирована для моего доступа и установки программ, установил Malwarebytes в другую папку, в путь по умолчанию не ставится, пишет не найден путь. Почистил найденные проблемы, запускал из безопасного режима, не помогает



#15 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 021 Сообщений:

Отправлено 14 Июнь 2020 - 19:43

часть папок заблокирована для моего доступа и установки программ
Что пишет система (дословно!) при попытке открыть такие папки?

#16 Vvvyg

Vvvyg

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 14 Июнь 2020 - 20:23

Давайте попробуем найти блокируемые папки.

 

Запустите FRST.EXE/FRST64.EXE, в окне поиска вставьте:

FindFolder: Doctor Web;Drweb*;malwarebytes*
Нажмите кнопку Search Files и дождитесь окончания поиска. Файл Search.txt  приложите в тему.




Also tagged with one or more of these keywords: вирус

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых