[Helper]

Насчет пиратских ключей патчей и т.д.-это да, ложный детект MBAM, поэтому лучше выложить лог, потом скажут, что удалять.

C:TempE_N4krnln.fnr (Trojan.FlyStudio) -> Quarantined and deleted successfully.

C:Temp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:TempE_N4eCalc.fne (Worm.Autorun) -> Quarantined and deleted successfully.

C:TempE_N4GDI+Ц§іЦїв.fne (Worm.Autorun) -> Quarantined and deleted successfully.

C:TempE_N4PhyDMACC.dll (Worm.Autorun) -> Quarantined and deleted successfully.

Вот эти файлы и есть вредоносные.

[Helper]

Комбофикс и MBAM хорошо подчистили систему, но вредоносный файл, который открывал ссылку в браузере они не нашли и не удалили.Кстати, в следующей раз не нужно паниковать, сразу запускать множество утилит.Достаточно сделать логи RSIT, выложить их, а дальше-по обстоятельствам.Combofix достаточно(при создании лога) запускать один раз по инструкции на сайте спайваре-ру.Если вы ещё не удалили его, попрошу папку Qoobox(скорее всего путь c:Qoobox) запаковать в архив и прислать на тот же адрес электронной почты.А файл, из-за которого были проблемы известен уже около полугода, ну увы детект на ВТ только 2 антивируса из 42. 😥
А в начале февраля файл по ВТ вообще числился чистым.

[Helper]

Здравствуйте. 🙂 Добро пожаловать на наш форум.Смотрю логи. 😉
Вот сразу хочу спросить, содержимое вот этих папок знакомо
C:bs2k1
C:Jobs ?
P.S.Ничего из файлов трогать не нужно удалять перемещать и т.д. ❗

[Helper]

Хорошо, подождем. 🙂 Пока MBAM ничего не нашел?
P.S.Сам выполнил последний скрипт(заранее проверил- автозапуск был включен), после перезагрузки отключился.

[Helper]

Когда MBAM завершит проверку, лог прикрепите.А вот насчет автозапуска, действительно скрипт почему-то не сработал. 😐 Ну да ладно, отключим другим скриптом в AVZ(перед выполнением отключаем антивирусы и/или фаерволлы, выгружаем программы). Запускаем авз от имени администратора.

procedure DisableAutorun;

begin

RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveTypeAutoRun', 221);

RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveAutoRun', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SystemCurrentControlSetServicesCDROM','AutoRun', 0);

end;

begin

DisableAutorun;

SaveLog('c:avz_log.txt');

RebootWindows(true);

end.

Компьютер перезагрузится.
c:avz_log.txt файл прикрепить к следующему сообщению.И кстати, проблема не появлялась?

[Helper]

Да, но нужно выполнить скрипт в авз для отключения автозапуска и MBAM’ом проверить полностью компьютер и сменные носители, дабы вирус опять не появился.Ну в общем жду нового лога MBAM с подключенными сменными носителями и обновленными базами.

[Helper]

Проблема не пропала, потому что удалилось не все…MBAM пропустил ещё один файлик. 🙂

[Helper]

По логам видно, что заражение произошло с помощью автозапуска.Выполните скрипт в AVZ для отключения автозапуска:

begin

RegKeyIntParamWrite('HKLM','SystemCurrentControlSetServicesCDROM','AutoRun',0);

RegKeyBinParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer','NoDriveTypeAutoRun','221');

RegKeyStrParamWrite('HKLM','SOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf','','@SYS:DoesNotExist',);

RegKeyStrParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles','*.*',' ');

end.

Он отключает автозапуск со сменных носителей, дисков и т.д.
Так вот, в старых логах MBAM видно зверя.Но необходимо обновить базы и провести полное сканирование, с подключенными сменными носителями.Внимание!Подключать сменные носители можно только после выполнения скрипта и файлы на на них тоже не нужно трогать.

[Helper]

@dixi wrote:

C:WindowsSystem32Driversspnb.sys
C:WindowsSystem32Driversaicyhok0.SYS
C:WindowsSystem32Driverssprs.sys

Я надеюсь вы ничего сами с этим файлами не делали? 🙂
У вас были установлены эмуляторы дисков(например, Daemon Tools)?
@Helper wrote:

activate.adobe.com сами изменяли файл HOSTS?

Не ответили на вопрос 😉 .
Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan» («Полное сканирование«), нажмите «Scan» («Сканирование«), после сканирования — Ok — Show Results («Показать результаты«) — Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.Ничего самостоятельно удалять не следует.
Если лог не открылся, то найти его можно в следующей папке:

%appdata%MalwarebytesMalwarebytes' Anti-MalwareLogs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Helper]

C:Program FilesGetRight

C:Program FilesPM4rus

C:Program FilesURL-Album

C:Program FilesSaveChm

C:WINDOWSSystem32DriversFcdFs.Sys

Это все Вам известно ,сами устанавливали?В остальном по логам AVZ активного заражения не видно.А вот насчет перезагрузок странно.Проверим ещё одной утилитой.

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков(если таковые имеются).
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   • Sections
   • IAT/EAT
   • Show all

6.Из всех дисков оставьте отмеченным только системный диск (обычно C:).Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да».
Куда же вы пропали? 😥 Лечение же ещё не закончено. ❗

[Helper]

C:WindowsSystem32Driversspnb.sys
C:WindowsSystem32Driversaicyhok0.SYS
C:WindowsSystem32Driverssprs.sys
проверьте эти файлы на virustotal.com, ссылки на результаты сообщите.
activate.adobe.com сами изменяли файл HOSTS?
Выгрузите все антивирусы и/или фаерволлы, выгрузите все программы и выполните следующий скрипт в AVZ

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

QuarantineFile('C:WINDOWSsystem32ssystimer.vbs','');

QuarantineFile('C:WindowsSystem32Driversaicyhok0.SYS','');

QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorCommon3b2b9f4ec1819e4b95792d92f56d26f9IAStorCommon.ni.dll','');

QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorDataMgrd30c0ec7210484cba6db59882aaaba1aIAStorDataMgr.ni.dll','');

QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorDataMgrSvc65191c7d58ab0c3666d5d9f26d3b899bIAStorDataMgrSvc.ni.exe','');

QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IAStorUtil2e16482769fcdf856919e292a968f16cIAStorUtil.ni.dll','');

QuarantineFile('C:WindowsassemblyNativeImages_v2.0.50727_32IsdiInterop76632f5376aa57887b9cd7a5662c6d4fIsdiInterop.ni.dll','');

QuarantineFile('C:WindowsSystem32Driversspnb.sys','');

QuarantineFile('C:WindowsSystem32Driverssprs.sys','');

DeleteFile('C:WINDOWSsystem32ssystimer.vbs');

BC_ImportAll;

ExecuteSysClean;

BC_QrFile('C:WindowsSystem32Driversspnb.sys');

BC_QrFile('C:WindowsSystem32Driversaicyhok0.SYS');

BC_QrFile('C:WindowsSystem32Driverssprs.sys');

BC_Activate;

ExecuteRepair(1);

ExecuteWizard('TSW',2,2,true);

ExecuteWizard('SCU',2,2,true);

RebootWindows(true);

end.

Компьютер перезагрузится.Выполните ещё скрипт сбора карантина.

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Архив quarantine.zip из директории AVZ прислать на почтовый адрес anti-spyware2010atyandex.ru, вместо at-@.
После выполняем скрипт в AVZ:

begin

ExecuteStdScr(2);

end.

И virusinfo_syscheck.zip(он будет новый) приложите к следующему сообщению+сообщите, что с проблемой.

[Helper]

Здравствуйте. 🙂
Выложите лог Cobofix.

[Helper]

Здравствуйте. 🙂
1.Скачайте AVZ
2.Запустите AVZ и обновите базы («Файл» => «Обновление баз«).
3.Отключить интернет, выгрузить антивирусное ПО, антишпионы, фаерволы.
4.Запустите AVZ нажмите Файл => Выполнить скрипт.
5.Вставьте следующий скрипт :

begin

ExecuteStdScr(3);

RebootWindows(false);

end.

Нажать в AVZ кнопку — Запустить. Компьютер перезагрузится.
6.После перезагрузки выполните скрипт:

begin

ExecuteStdScr(2);

end.

7.В директории AVZ в папке «LOG» появятся архивы: virusinfo_syscure.zip и virusinfo_syscheck.zip, их необходимо прикрепить к следующему сообщению.

[Helper]

1.Скачайте AVZ
2.Запустите AVZ и обновите базы («Файл» => «Обновление баз«).
3.Отключить интернет, выгрузить антивирусное ПО, антишпионы, фаерволы.
4.Запустите AVZ нажмите Файл => Выполнить скрипт.
5.Вставьте следующий скрипт :

begin

ExecuteStdScr(3);

RebootWindows(false);

end.

Нажать в AVZ кнопку — Запустить. Компьютер перезагрузится.
6.После перезагрузки выполните скрипт:

begin

ExecuteStdScr(2);

end.

7.В директории AVZ в папке «LOG» появятся архивы: virusinfo_syscure.zip и virusinfo_syscheck.zip, их необходимо прикрепить к следующему сообщению.
А насчет MBAM, думаю нет ничего страшного, можете её удалить.

[Helper]

Что с проблемами? 🙂

[Автор]

Сообщения