12 ответов в этой теме

[ttru5]

обнаружил в "Использование данных" что временами из папок с названием CR_*****.tmp 
(C:\Users\julia\AppData\Local\Temp\CR_87B6E.tmp\setup.exe)
запускается неизвестный исполняемый файл с сетевой активностью, сам файл после исполнения удаляется но в папке остаются 2 файла с названием BRAND и BRAND_COMMON
а также нашел в этой теме https://vms.drweb.ru/virus/?i=19562920&lng=ru
что это Trojan.Siggen9.13015 но при этом антивирус drweb его не обнаруживает,
как его удалить если переустановка windows не помогает и насколько он опасен?

при попытке загрузить скриншоты пишет 
Вам запрещено использовать изображения с таким расширением на этом форуме. Разрешенный формат: http://www.domain.com/picture.gifЗапрещенный формат: http://www.domain.com/picture.one.gif

и кнопка прикрепить файл не работает

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Severnyj]

Залейте на файлообменник, также ждем логи по п.1

[ttru5]

https://cloud.mail.ru/public/QFvV/bqTNrVpza
cureit.log

[Alexander007]

Вышлите это файлы указанную в ЛС , а потом смотреть что за файл .

C:\Users\julia\AppData\Local\Temp\CR_87B6E.tmp\setup.exe

Сообщение было изменено Alexander007: 30 Апрель 2025 - 14:54

[ttru5]

Вышлите это файлы указанную в ЛС , а потом смотреть что за файл .

C:\Users\julia\AppData\Local\Temp\CR_87B6E.tmp\setup.exe

файл удаляется сразу после исполнения и я не знаю как его отследить

[Severnyj]

Dr.Web Sysinfo подготовьте еще и FRST

 

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

Как узнать разрядность моей системы?

 

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.

Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).

Нажмите кнопку Scan (Сканировать).

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

[ttru5]

https://cloud.mail.ru/public/5HYZ/rsfXFmB8C

[Alexander007]

Выполните Dr.Web Sysinfo

[Severnyj]

В логах FRST ничего подозрительного нет.

[ttru5]

В логах FRST ничего подозрительного нет.

спасибо за ответ, нашел еще отчет от drweb про Trojan.Siggen14.12714
где упоминаются brand и brand_common
https://vms.drweb.ru/virus/?i=24427954

[Dolmatov]

Судя по отчёту, вы используете YandexBrowser. Описанное изначально поведение относится к нему. Если какие-то вирусы используют модифицированный или заражённый браузер, то какие-либо поведения будут совпадать с легальными версиями браузера. В вашем случае поведение и пути выглядят легитимными.

 

Если продолжаете сомневаться, то временно удалите этот браузер и используйте другой (Edge, Firefox, Vivaldi и т.п.). До удаления обратите внимание на хранение данных браузера, их синхронизацию, чтобы не потерять навсегда.

При самовольном появлении YandexBrowser будет иметь смысл детальней проверить систему.

[ttru5]

Судя по отчёту, вы используете YandexBrowser. Описанное изначально поведение относится к нему. Если какие-то вирусы используют модифицированный или заражённый браузер, то какие-либо поведения будут совпадать с легальными версиями браузера. В вашем случае поведение и пути выглядят легитимными.

 

Если продолжаете сомневаться, то временно удалите этот браузер и используйте другой (Edge, Firefox, Vivaldi и т.п.). До удаления обратите внимание на хранение данных браузера, их синхронизацию, чтобы не потерять навсегда.

При самовольном появлении YandexBrowser будет иметь смысл детальней проверить систему.

если кому то в будущем эта информация пригодиться, то мне получилось скопировать папку на новом пользователе, это обновление от яндекса,
файлы brand это архивы формата cab где находятся файлы яндекса
также там архив BROWSER.PACKED.7Z и setup.exe с иконкой яндекса
еще заметил что при первой установке яндекса в папке temp вместо папки cr_*****.tmp будет папка yb_*****.tmp