17.12.2011, 02:22 | #1 (ссылка) |
Новичок
Регистрация: 17.12.2011
Сообщений: 3
Репутация: 0
|
модифицированный Win32/Spy.Shiz.NCE
"Оперативная память » winlogon.exe(980) модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна"
http://rghost.ru/35113521 AVZ лог http://rghost.ru/35113861 uVS http://rghost.ru/35113931 Лог из NOD32 |
17.12.2011, 03:26 | #2 (ссылка) |
Эксперт
|
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код:
;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\WINDOWS\PPPUE.SYS addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\NETPROTOCOL.EXE ; C:\WINDOWS\APPPATCH\LPGSXU.EXE addsgn A7679BF0AA024C130BC4C6754EC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13E0848F75C4C32EF4CAACFC51CA3BE4AC965B2FC706AB7E 16 Spy.Shiz zoo %SystemRoot%\APPPATCH\LPGSXU.EXE delall %SystemRoot%\APPPATCH\LPGSXU.EXE delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/5089 deltmp delnfr regt 1 regt 2 regt 3 regt 13 regt 14 regt 12 regt 18 regt 17 czoo sreg delref %SystemRoot%\PPPUE.SYS areg В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com После перезагрузки сделать лог Malwarebytes и выложить сюда |
17.12.2011, 15:12 | #3 (ссылка) |
Новичок
Регистрация: 17.12.2011
Сообщений: 3
Репутация: 0
|
http://www.fayloobmennik.net/1303647 mbam - ЛОГ
|
17.12.2011, 15:16 | #4 (ссылка) |
Эксперт
|
надо было лог на letitbit залить
удалите в mbam следующие записи: Код:
Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Зараженные файлы: c:\system volume information\_restore{eb64011f-253d-4bfd-8ec9-3a66327e41d3}\RP19\A0005743.exe (Trojan.Downloader.BH) -> No action taken. c:\system volume information\_restore{eb64011f-253d-4bfd-8ec9-3a66327e41d3}\RP19\A0005759.exe (Trojan.Downloader.BH) -> No action taken. c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\14\6c60c0e-735e3df4 (Trojan.Downloader.BH) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\20\5fde6314-1c32d350 (Trojan.Downloader.BH) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\33\36fa2561-535116cf (Trojan.Downloader.BH) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\50\b793f32-31adcb74 (Trojan.Downloader.BH) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\9\42ed0849-45d79972 (Trojan.Dropper) -> No action taken. c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\9\47c140c9-48bb3447 (Trojan.Downloader.BH) -> No action taken. Код:
begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. Ну и все |
26.01.2012, 12:53 | #6 (ссылка) |
Новичок
Регистрация: 26.01.2012
Сообщений: 1
Репутация: 0
|
Здравствуйте. помогите мне тоже.
Operating memory » explorer.exe(304) - a variant of Win32/Spy.Shiz.NCE trojan - unable to clean http://ge.tt/8XgwbmC eset http://ge.tt/9L8RcmC uVS |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
модифицированный Win32/Spy.Shiz.NCE | Rebus77 | Безопасность | 10 | 16.12.2011 16:33 |
Вирус win32/Spy.Shiz.NBW | Takeshi | Безопасность | 11 | 15.12.2011 17:05 |
Пожалуйста, помогите,Win32/Spy.Shiz.NBW | Flooppy | Безопасность | 7 | 01.11.2011 20:29 |
Помогите плизз WIN32/Spy.Shiz.NBW | GlindiBley | Безопасность | 4 | 31.10.2011 22:28 |
win32/spy.shiz.nbw в оперативке | Shuryken | Безопасность | 10 | 14.10.2011 19:34 |