9 ответов в этой теме

[leika]

Добрый день, изначально вирус не позволял пользоваться диспетчером задач, при попытке найти в браузере антивирус выключал браузер, также запрещал установщикам dr.web и AVBR установить приложения, обошел в безопасном режиме, перебросив сами установщики через телефон на ПК, после полных проверок и удаления всего на что указали антивирусы появилась проблема, после перезагрузки сразу же всплывают cmd и poweshell   dlyaDR.png   908,37К   1 Скачано раз , исчезают через пару секунд и больше никак кроме как перезагрузив компьютер увидеть их не выходит. Также вместе с этим появляется ошибка, тоже только при запуске  dlyaDR2.png   25,15К   3 Скачано раз , и при каждом запуске пк, примерно в эти же секунды антивирус блокирует 3 подозрительных объекта и перемещает их   dlyaDR3.png   1,09Мб   1 Скачано раз , это происходящее каждый раз при запуске, также до этого при удалении вируса с помощью dr.web у сетевых драйверов появилась ошибка (код 56), была исправлена с помощью CCleaner просканировав и исправив ошибки реестра.
результаты отчета SysInfo прилагаю на гугл диске: https://drive.google.com/drive/folders/13sPQ8Nfvs66zsS7pRLR6ERLqFbp8ctw_?usp=sharing

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Приветствую leika , у вас ключ лицензионный ?  По логах видно , что ключей от него Dr.Web нету/или просрочен или не найден ключ  :

2023-09-02 20:10:54.983 [INF] [13056] [KeysStorage] No valid license have been found.
2023-09-02 20:10:54.985 [INF] [13056] [KeysStorage] No valid license have been found.
2023-09-02 20:10:54.986 [WRN] [13056] [main_wnd_t] Your license doesn't allow updating.
2023-09-02 20:11:54.992 [INF] [13056] [KeysStorage] No valid license have been found.
2023-09-02 20:11:54.995 [INF] [13056] [KeysStorage] No valid license have been found.
2023-09-02 20:11:54.996 [WRN] [13056] [main_wnd_t] Your license doesn't allow updating.

Без ключа не будет срабатывать защита/обновление баз. Рекомендую приобрести ключ  .

Сообщение было изменено Alexander007: 02 Сентябрь 2023 - 22:29

[AndreyKa]

Здравствуйте.

Файлы:

C:\ProgramData\Microsoft\DRM\Q3byoFsHE\FilesystemR.bat
C:\programdata\microsoft\drm\q3byofshe\svchost.exe

 

Загрузите через форму https://vms.drweb.com/sendvirus/

Сюда напишите номер тикета, который придёт на почту.

[Dmitry_rus]

В ProgramData\ReaItekHD удалите файлы. Если не удаляются - из безопасного режима. После перезагрузки появляются в том же месте?

Сделайте еще логи FRST:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Сообщение было изменено Dmitry_rus: 02 Сентябрь 2023 - 23:29

[leika]

В ProgramData\ReaItekHD удалите файлы. Если не удаляются - из безопасного режима. После перезагрузки появляются в том же месте?

Сделайте еще логи FRST:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

В ProgramData\ReaItekHD файлов никаких не заметил, по крайней мере с включенным в автозапуске антивирусом (просмотр скрытых элементов включен).
результаты сканирования Farbar Recovery Scan Tool загрузил так же на гугл диск (в папке "результаты сканирования FRST"): https://drive.google.com/drive/folders/13sPQ8Nfvs66zsS7pRLR6ERLqFbp8ctw_?usp=sharing

[leika]

Здравствуйте.

Файлы:

C:\ProgramData\Microsoft\DRM\Q3byoFsHE\FilesystemR.bat
C:\programdata\microsoft\drm\q3byofshe\svchost.exe

 

Загрузите через форму https://vms.drweb.com/sendvirus/

Сюда напишите номер тикета, который придёт на почту.

если скопировать путь "C:\ProgramData\Microsoft\DRM\Q3byoFsHE\FilesystemR.bat" и вставить в проводник что то пытается сделать самораспаковывающийся архив, загрузил видео что происходит на диск, во втором случае (C:\programdata\microsoft\drm\q3byofshe\svchost.exe) просит пароль от архива (скриншот загрузил на диск). При попытке найти вручную эти файлы ничего не выходит, папка DRM якобы пуста, если ввести путь до "C:\ProgramData\Microsoft\DRM\Q3byoFsHE" последняя папка тоже откроется, но будет пуста
ссылка на видео и скриншот: https://drive.google.com/drive/folders/18mh52IF2S0tbhrtMgCsyr8TkOHZDAkTI?usp=sharing
 

пометка: там где на записи экран становится черным, это запрос на внесение изменений на устройстве,дважды, от game.exe и svchost.exe
 

Сообщение было изменено leika: 03 Сентябрь 2023 - 11:37

[Dmitry_rus]

Проверьте ЛС.

[AndreyKa]

если скопировать путь "..." и вставить в проводник что то пытается сделать самораспаковывающийся архив

Гениально! Запускать троян самому чтобы он ещё что нибудь напортил...

[leika]

Спасибо за помощь, проблема решена.