Перейти к содержимому


Фото
- - - - -

Подозрение на оставшийся вирус (не запускается EXE-установщик Dr.Web)

Автор Yopt , сен 25 2025 14:29

  • Please log in to reply
11 ответов в этой теме

#1 Yopt

Yopt

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 25 Сентябрь 2025 - 14:29

Здравствуйте, ситуация примерно следующая: насколько могу понять около недели назад подхватил сразу кучу зараз, скорее всего после скаченного и запущенного архива с "игрой" (максимально умно с моей стороны, да, особенно учитывая, что на тот момент на компьютере не было никакого установленного антивируса).

 

Первое на что обратил внимание - активная работа вентиляторов корпуса в режим простоя. Попробовал скачать Dr.Web CureIt, в двух разных браузерах меня перебрасывало на ошибки с DNS. Сообразил не сразу, но потом прочитал в интернетах, что это как раз так себя вирус ведет. Скачал CureIt на планшете, перекинул на ПК, запустил - нашел целую рассаду троянов и майнеров. На тот момент, я не знал о существовании форумов и таких вот запросов на помощь с лечением, соответственно не знал и про инструкцию ничего самостоятельно не делать. Поэтому все что было найдено обезвредил, что-то удалил. Вроде бы вентиляторы больше не шумят.

 

Далее купил лицензию Dr.Web Security Space в надежде, что она меня подстрахует в будущем, если угораздит непонятные файлы открыть. Однако, при попытке запустить drweb-12.0-ss-win.exe, получал следующее системное сообщение: Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору. Погуглил еще, переименовал файл, все запустилось, поставил антивирус, сделал еще один скан, нашлись какие-то сто лет назад скаченные кряки, удалил на всякий случай.

 

Вроде бы проблем каких-то нет, но начал тупить интернет - то грузит медленно, то думает перед открытием простейших страниц по 30 секунд торренты перестали работать вообще в обе стороны, постоянно обрывается связь с сервером MemoQ по работе (пишет нет соединения), такая же ситуация с Monosnap (при попытке загрузить скриншот, пишет нет интернета, хотя в браузерах страницы открываются, мессенджеры работают). Сразу отмечу, что возможно это какие-то локальные проблемы с провайдером, потому что с включенным VPN по какой-то причине все работает нормально, хотя никакой запрещенки нет, весь софт нормально работал все эти годы. Собственно к чему этот абзац: поначалу подумал, может это Dr.Web мне там что-то блочит активно, добавил несколько программ в исключения - не помогло. Удалил Dr.Web с компьютера - не помогло. Запустил снова установщик drweb-12.0-ss-win.exe, а он снова выдает сообщение про "Обратитесь к системному администратору"! То есть получается не вся зараза ушла? Даже если это не она вызывает проблемы с интернетом.

 

Файл я снова переименовал, запустил, установил Dr.Web, сделал еще один полный скан, есть три результата (приложу скриншот). Этот последний скан был уже после того, как я прочитал инструкцию, поэтому ничего с файлами не делал.

 

У меня был вопрос, где именно взять лог скана, который надо приложить, но вот здесь мне сказали, что для начала лог Dr.Web Sysinfo будет достаточно. Собственно вот ссылка на лог Sysinfo: https://disk.yandex.ru/d/3q9aVoTuM3t1-w

 

Спасибо!

Прикрепленные файлы:


Сообщение было изменено Yopt: 25 Сентябрь 2025 - 14:31

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 362 Сообщений:

Отправлено 25 Сентябрь 2025 - 14:29

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


#3 Severnyj

Severnyj

    Member

  • Posters
  • 297 Сообщений:

Отправлено 25 Сентябрь 2025 - 15:02

Скачайте утилиту DrWeb FixIt! и сохраните её на Рабочем столе.
 
  • Запустите скачанный файл.
  • Нажмите кнопку «Начать сканирование», чтобы начать сканирование.
  • По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.
  • Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

    • #4 Yopt

    Yopt

      Newbie

    • Posters
    • 8 Сообщений:

    Отправлено 25 Сентябрь 2025 - 18:22

    Скан сделал, вот ссылка на архив: https://disk.yandex.ru/d/q4EgOZoD6AbHGQ


    #5 Severnyj

    Severnyj

      Member

    • Posters
    • 297 Сообщений:

    Отправлено 25 Сентябрь 2025 - 19:32

    Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
     
    Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
     
    • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).
    •  
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

    #6 Yopt

    Yopt

      Newbie

    • Posters
    • 8 Сообщений:

    Отправлено 25 Сентябрь 2025 - 20:00

    Отчеты готовы, вот ссылка на архив: https://disk.yandex.ru/d/iFEXNa2_m1IRjw


    #7 Severnyj

    Severnyj

      Member

    • Posters
    • 297 Сообщений:

    Отправлено 25 Сентябрь 2025 - 20:17

    Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    Отключите до перезагрузки антивирус.
    Выделите следующий код:
     
    Spoiler

    Скопируйте выделенный текст (правой кнопкой - Копировать).
    Запустите FRST (FRST64) от имени администратора.
    Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
    Компьютер будет перезагружен автоматически.

    #8 Yopt

    Yopt

      Newbie

    • Posters
    • 8 Сообщений:

    Отправлено 25 Сентябрь 2025 - 20:40

    Все сделал, вот файл Fixlog: https://disk.yandex.ru/d/6q0X9CMHAomKww


    #9 Severnyj

    Severnyj

      Member

    • Posters
    • 297 Сообщений:

    Отправлено 25 Сентябрь 2025 - 20:44

    Сообщите, что с проблемой?


    #10 Yopt

    Yopt

      Newbie

    • Posters
    • 8 Сообщений:

    Отправлено 25 Сентябрь 2025 - 20:57

    Хмм, ну, смотря что считать проблемой  :) С интернетом лучше не стало, но видимо, как и предполагалось изначально, это надо пинать провайдера, так как вряд ли бы вирус давал работать с VPN, а без него палки в колеса мне ставить.

     

    Но файл установщика drweb-12.0-ss-win.exe теперь запускается без проблем, сообщения об "обращении к администратору" больше нет, значит с потенциальными вирусами, полагаю, проблем тоже быть не должно. Спасибо большое!

     

    А было по логам понятно, это просто какое-то остаточная запись где-нибудь блокировала запуск антивируса (потому что изначально вирус мне даже сайты с антивирусами не давал открывать, а после первых самостоятельных попыток с ним справиться сайты заработали, но не работал зкзешник)? Или это именно полноценный вирус где-то был запрятан и не обнаруживался стандартными сканами?


    Сообщение было изменено Yopt: 25 Сентябрь 2025 - 20:57

    #11 Severnyj

    Severnyj

      Member

    • Posters
    • 297 Сообщений:

    Отправлено 25 Сентябрь 2025 - 21:33

    Майнер Trojan.AutoIt.289 был удален еще CureIt!, но этот майнер имеет особенности, такие как противодействие запуску и установке антивирусов и антивирусных утилит. Например, в реестре были настроены блокировки запуска по имени: drweb-12.0-ss-win.exe, bitdefender_avfree.exe, eav_trial_rus.exe - всего 26 наименований антивирусов и сканеров. Так же по скрипту FRST вы видели, что мы удаляли папки антивирусов - троян также создал эти папки на системном диске и лишил прав доступа в них - таким образом тоже идет блокировка от установки антивирусов.

     

    Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
    Компьютер будет перезагружен автоматически.
     
    У вас установлен продукт безопасности от Palo Alto Networks:
     

    GlobalProtect

     

     

    - использование нескольких антивирусов в одной системе может привести к нестабильной работе. Деинсталлируйте данный продукт.
     
     
    Обновите ПО:
     
    Java SE Development Kit 8 Update 181 - деинсталлируйте
     

    Для блокировки нежелательного контента советую установить расширения браузеров uBO Lite и Browser guard.
     

     

    По интернету проблем в логах не увидел.

    Однако:

     

    Программа Ace Stream Media 3.1.32 может менять код страниц, встраивая в них свой контент и рекламу, - использование программы на свой страх и риск - рекомендую деинсталлировать.

     

    Использование нескольких VPN может привести к конфликтам, Kaspersky Secure Connection, к тому же прекращены продажи в РФ - рекомендую деинсталлировать.

     

     

    Попробуйте сбросить настройки браузеров, по примеру:

     


     
    отключите все расширения, дополнения браузеров, проверьте настройки сети - данные провайдером. 
     
     
    Попробуйте сменить DNS-сервер:
     

    Выберите только одного из этих 6 провайдеров. Обратите внимание, что вам нужно изменить адреса серверов не только для IPv4, но и для IPv6.
     
  • Quad 9 Public DNS IPv4 9.9.9.9 и 149.112.112.112 IPv6 2620:fe::fe и 2620:fe::9
  • Google Public DNS: IPv4 8.8.8.8 и 8.8.4.4 IPv6 2001:4860:4860::8888 и 2001:4860:4860::8844
  • Cloudflare: IPv4 1.1.1.1 и 1.0.0.1 IPv6 2606:4700:4700::1111 и 2606:4700:4700::1001
  • Cisco Umbrella: IPv4 208.67.222.222 и 208.67.220.220 IPv6 2620:119:35:35 и 2620:119:53:53
  • DNSWATCH: IPv4 84.200.69.80 и 84.200.70.40 IPv6 2001:1608:10:25::1c04:b12f и 2001:1608:10:25:9249:d69b
  • Яндекс.DNS: IPv4 77.88.8.8 и 77.88.8.1 IPv6 2a02:6b8::feed:0ff и 2a02:6b8:0:1::feed:0ff
    •  
    Для того чтобы изменить адрес DNS-сервера нажмите Win+R
    В окно Выполнить вставьте:
    control.exe /name Microsoft.NetworkandSharingCenter
    Далее следуйте: Изменение параметра адаптера - Выбрать необходимое устройство - ПКМ Свойства - IP версии 4 (TSP/IPv4) - Свойства - Использовать следующие адреса DNS-серверов - ОК.
    Повторите действия для IP версии 6 (TCP/IPv6).
     

    Создайте тему в общем разделе, возможно там найдут решение.


    #12 Yopt

    Yopt

      Newbie

    • Posters
    • 8 Сообщений:

    Отправлено 25 Сентябрь 2025 - 21:37

    Ого, спасибо вам огромное за подробную обратную связь! Пойду прямо по списку рекомендаций.


    Назад к Помощь по лечению
    1. Dr.Web forum
    2. Русские форумы
    3. Антивирусная лаборатория
    4. Помощь по лечению
    5. Privacy Policy
    6. Terms & Rules ·