- This topic has 58 ответов, 4 участника, and was last updated 12 years, 4 months назад by
.
-
Сообщения
-
спасибо за ответ..
сделала все как сказали, прикрепляю логи..
странно ,что ничего не находится, а проблема остается и весьма неприятная:( браузер открывается без моего ведома через определенные промежутки времени и вот тот редирект, что я выше описала..спасибо !
C:WindowsSystem32Driversspnb.sys
C:WindowsSystem32Driversaicyhok0.SYS
C:WindowsSystem32Driverssprs.sys
проверьте эти файлы на virustotal.com, ссылки на результаты сообщите.
activate.adobe.com сами изменяли файл HOSTS?
Выгрузите все антивирусы и/или фаерволлы, выгрузите все программы и выполните следующий скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:WINDOWSsystem32ssystimer.vbs','');
QuarantineFile('C:WindowsSystem32Driversaicyhok0.SYS','');
QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorCommon3b2b9f4ec1819e4b95792d92f56d26f9IAStorCommon.ni.dll','');
QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorDataMgrd30c0ec7210484cba6db59882aaaba1aIAStorDataMgr.ni.dll','');
QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorDataMgrSvc65191c7d58ab0c3666d5d9f26d3b899bIAStorDataMgrSvc.ni.exe','');
QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorUtil2e16482769fcdf856919e292a968f16cIAStorUtil.ni.dll','');
QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IsdiInterop76632f5376aa57887b9cd7a5662c6d4fIsdiInterop.ni.dll','');
QuarantineFile('C:WindowsSystem32Driversspnb.sys','');
QuarantineFile('C:WindowsSystem32Driverssprs.sys','');
DeleteFile('C:WINDOWSsystem32ssystimer.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('C:WindowsSystem32Driversspnb.sys');
BC_QrFile('C:WindowsSystem32Driversaicyhok0.SYS');
BC_QrFile('C:WindowsSystem32Driverssprs.sys');
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.Выполните ещё скрипт сбора карантина.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Архив quarantine.zip из директории AVZ прислать на почтовый адрес anti-spyware2010atyandex.ru, вместо at-@.
После выполняем скрипт в AVZ:
begin
ExecuteStdScr(2);
end.
И virusinfo_syscheck.zip(он будет новый) приложите к следующему сообщению+сообщите, что с проблемой.
вроде бы все сделала, и мейл отправила. единственно
C:WindowsSystem32Driversspnb.sys
C:WindowsSystem32Driversaicyhok0.SYS
C:WindowsSystem32Driverssprs.sysэти файлы не обнаружила в компьютере, в указанных местах.. поэтому не смогла проверить..
прикрепляю новый virusinfo_syscheck
по проблеме отпишусь, надо подождать.спасибо
@dixi wrote:
C:WindowsSystem32Driversspnb.sys
C:WindowsSystem32Driversaicyhok0.SYS
C:WindowsSystem32Driverssprs.sysЯ надеюсь вы ничего сами с этим файлами не делали? 🙂
У вас были установлены эмуляторы дисков(например, Daemon Tools)?
@Helper wrote:activate.adobe.com сами изменяли файл HOSTS?
Не ответили на вопрос 😉 .
Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan» («Полное сканирование«), нажмите «Scan» («Сканирование«), после сканирования — Ok — Show Results («Показать результаты«) — Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.Ничего самостоятельно удалять не следует.
Если лог не открылся, то найти его можно в следующей папке:%appdata%MalwarebytesMalwarebytes' Anti-MalwareLogsЕсли базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
я ничего не делала. эмуляторы были да..
про адоб. это чтобы активация не лезла в инет
в принципе там понятно, что на локальную машину идет переадресация.
извиняюсь, за невнимательность. Кстати, пока еще уже около часа не появлялось надоедливое окно
скан с Malwarebytes делала. вот лог. Но это неск. дней назад. Когда пыталась понять что за проблема.По логам видно, что заражение произошло с помощью автозапуска.Выполните скрипт в AVZ для отключения автозапуска:
begin
RegKeyIntParamWrite('HKLM','SystemCurrentControlSetServicesCDROM','AutoRun',0);
RegKeyBinParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer','NoDriveTypeAutoRun','221');
RegKeyStrParamWrite('HKLM','SOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf','','@SYS:DoesNotExist',);
RegKeyStrParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles','*.*',' ');
end.
Он отключает автозапуск со сменных носителей, дисков и т.д.
Так вот, в старых логах MBAM видно зверя.Но необходимо обновить базы и провести полное сканирование, с подключенными сменными носителями.Внимание!Подключать сменные носители можно только после выполнения скрипта и файлы на на них тоже не нужно трогать.да что то было в первых сканах, но оно все удалилось так как было найдено, но после этого проблема не пропала.
вот сейчас пока уже 2й час ничего нет.
мне кажется это как-то связано с посещением яндекса. я его редко открываю. но как-то пришлось..
сейчас выполню скрипт и еще раз скан с MBAM , потом отпишусь.
спасибо..Проблема не пропала, потому что удалилось не все…MBAM пропустил ещё один файлик. 🙂
внешними носителями практически не пользуюсь. может это были эмуляторы. но я не смогу вспомнить какие именно запускались.
сейчас просканирую еще раз malwarebytes . посмотрим что будет..почему то при подключении внешних носителей появилось окно запроса автоплея, я думала что мы это отключили скриптом, или так и должно быть?
Да, но нужно выполнить скрипт в авз для отключения автозапуска и MBAM’ом проверить полностью компьютер и сменные носители, дабы вирус опять не появился.Ну в общем жду нового лога MBAM с подключенными сменными носителями и обновленными базами.
так я же его выполнила этот скрипт в авз! и потом подключила носители. и сейчас запустила malwarebytes на полное сканирование вместе с 2мя внешними носителями (но не образами, которые эмулировались ранее) ..
получается скрипт у меня не отключил автозапуск?Когда MBAM завершит проверку, лог прикрепите.А вот насчет автозапуска, действительно скрипт почему-то не сработал. 😐 Ну да ладно, отключим другим скриптом в AVZ(перед выполнением отключаем антивирусы и/или фаерволлы, выгружаем программы). Запускаем авз от имени администратора.
procedure DisableAutorun;
begin
RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveAutoRun', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SystemCurrentControlSetServicesCDROM','AutoRun', 0);
end;
begin
DisableAutorun;
SaveLog('c:avz_log.txt');
RebootWindows(true);
end.Компьютер перезагрузится.
c:avz_log.txt файл прикрепить к следующему сообщению.И кстати, проблема не появлялась?
- Тема ‘осталась проблема после combofix-а’ закрыта для новых сообщений.
