- This topic has 3 ответа, 2 участника, and was last updated 16 years, 1 month назад by
.
-
Сообщения
-
Добрый день.
Ситуация следующая:
При открытии в IE любого сайта на странице отображается порно. В адресной строке информация не меняется.Было выполнено:
1. Проверка антивирусами (стоял Nod32, меняли на Avast и KIS8). Вирусов не обнаружено (Примечание: наблюдал только за KIS8, Avast возможно что-то нашёл и удалил).
2. Проверка Troyan Remover. Обнаружил лишнюю строчку в реестре (на этапе проверки руткитов), удалил.
3. Чистили временые файлы IE (сносили все в каталоге Local SettingsTemporary Internet Files), в том числе и index.
4. Запускали ComboFix.Дополнительно хочу отметить:
1. Проблема только в IE под любым профилем. В Мозиле такого нет.
2. В каталоге Temporary Internet Files постоянно появляются файлы формата jpg и gif. После их удаления открытие сайта происходит чуть дольше, при этом успевает частично отобразить содержимое нужного сайта, затем снова порно.
3. Надстройки в IE почти все отключены.Во вложении лог работы ComboFix. Искомые графические файлы в логе в разделе Other Deletions.
Машина рабочая, переустанавить систему проблематично.
Подскажите пожалуйста, что еще можно сделать.С уважением, Антон.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}]
[-HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}]
File::
c:restoreS-1-5-21-1482476501-1644491937-682003330-1013sweet.exe
c:documents and settingsAll UsersApplication DataMicrosoftMedia Playersowwrqu.dllЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
И конечно-же проверьте InternetExplorer в работе.Спасибо огромное!
Все получилось!
Примечание:
машина в домене, используются две учетные записи: с административными правами и пользовательская. Скрипт выполнил под админом. Все нормально, IE заработал корректно. Однако под пользователем ситуация не изменилась. Прогнал скрипт под пользовательской учеткой — все заработало.Соответственно, прикладываю оба лога: log_user и log_admin.
Еще раз спасибо!
Для админа всё ок.
Для пользовательской записи, нужно ещё немножко поработать.Судя по логу, в компьютер вставляли заражённую флешку или подключали заражённый внешний диск (диск F).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4d306d88-b519-11dd-a5d9-001558635d37}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{771f48c8-b063-11dd-a5d5-001558635d37}]
File::
f:restoreS-1-5-21-1482476501-1644491937-682003330-1013sweet.exeЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Для ответа в этой теме необходимо авторизоваться.
