модифицированный Win32/Spy.Shiz.NCE

janny21 · 17.12.2011, 02:22

"Оперативная память » winlogon.exe(980) модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна"

http://rghost.ru/35113521 AVZ лог
http://rghost.ru/35113861 uVS
http://rghost.ru/35113931 Лог из NOD32

Angel-iz-Ada · 17.12.2011, 03:26

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\WINDOWS\PPPUE.SYS
addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\NETPROTOCOL.EXE
; C:\WINDOWS\APPPATCH\LPGSXU.EXE
addsgn A7679BF0AA024C130BC4C6754EC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13E0848F75C4C32EF4CAACFC51CA3BE4AC965B2FC706AB7E 16 Spy.Shiz

zoo %SystemRoot%\APPPATCH\LPGSXU.EXE
delall %SystemRoot%\APPPATCH\LPGSXU.EXE
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/5089
deltmp
delnfr
regt 1
regt 2
regt 3
regt 13
regt 14
regt 12
regt 18
regt 17
czoo
sreg
delref %SystemRoot%\PPPUE.SYS
areg

И жмем Выполнить. ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com
После перезагрузки сделать лог Malwarebytes и выложить сюда

janny21 · 17.12.2011, 15:12

http://www.fayloobmennik.net/1303647 mbam - ЛОГ

Angel-iz-Ada · 17.12.2011, 15:16

надо было лог на letitbit залить

удалите в mbam следующие записи:

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
c:\system volume information\_restore{eb64011f-253d-4bfd-8ec9-3a66327e41d3}\RP19\A0005743.exe (Trojan.Downloader.BH) -> No action taken.
c:\system volume information\_restore{eb64011f-253d-4bfd-8ec9-3a66327e41d3}\RP19\A0005759.exe (Trojan.Downloader.BH) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\14\6c60c0e-735e3df4 (Trojan.Downloader.BH) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\20\5fde6314-1c32d350 (Trojan.Downloader.BH) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\33\36fa2561-535116cf (Trojan.Downloader.BH) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\50\b793f32-31adcb74 (Trojan.Downloader.BH) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\9\42ed0849-45d79972 (Trojan.Dropper) -> No action taken.
c:\documents and settings\administrator\application data\Sun\Java\deployment\cache\6.0\9\47c140c9-48bb3447 (Trojan.Downloader.BH) -> No action taken.

При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.
Ну и все

janny21 · 17.12.2011, 16:28

спасибо!

denwave · 26.01.2012, 12:53

Здравствуйте. помогите мне тоже.
Operating memory » explorer.exe(304) - a variant of Win32/Spy.Shiz.NCE trojan - unable to clean

http://ge.tt/8XgwbmC eset
http://ge.tt/9L8RcmC uVS

Bartimeus · 26.01.2012, 12:55

denwave,
1)Создайте СВОЮ тему
2)Выполните правила http://pchelpforum.ru/f26/t6442/

17.12.2011, 02:22	#1 (ссылка)
janny21 Новичок Регистрация: 17.12.2011 Сообщений: 3 Репутация: 0	модифицированный Win32/Spy.Shiz.NCE "Оперативная память » winlogon.exe(980) модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна" http://rghost.ru/35113521 AVZ лог http://rghost.ru/35113861 uVS http://rghost.ru/35113931 Лог из NOD32

17.12.2011, 03:26	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код: ;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\WINDOWS\PPPUE.SYS addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\NETPROTOCOL.EXE ; C:\WINDOWS\APPPATCH\LPGSXU.EXE addsgn A7679BF0AA024C130BC4C6754EC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13E0848F75C4C32EF4CAACFC51CA3BE4AC965B2FC706AB7E 16 Spy.Shiz zoo %SystemRoot%\APPPATCH\LPGSXU.EXE delall %SystemRoot%\APPPATCH\LPGSXU.EXE delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/5089 deltmp delnfr regt 1 regt 2 regt 3 regt 13 regt 14 regt 12 regt 18 regt 17 czoo sreg delref %SystemRoot%\PPPUE.SYS areg И жмем Выполнить. ПК перезагрузится. В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com После перезагрузки сделать лог Malwarebytes и выложить сюда

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
модифицированный Win32/Spy.Shiz.NCE	Rebus77	Безопасность	10	16.12.2011 16:33
Вирус win32/Spy.Shiz.NBW	Takeshi	Безопасность	11	15.12.2011 17:05
Пожалуйста, помогите,Win32/Spy.Shiz.NBW	Flooppy	Безопасность	7	01.11.2011 20:29
Помогите плизз WIN32/Spy.Shiz.NBW	GlindiBley	Безопасность	4	31.10.2011 22:28
win32/spy.shiz.nbw в оперативке	Shuryken	Безопасность	10	14.10.2011 19:34

17.12.2011, 15:12	#3 (ссылка)
janny21 Новичок Регистрация: 17.12.2011 Сообщений: 3 Репутация: 0	http://www.fayloobmennik.net/1303647 mbam - ЛОГ

17.12.2011, 16:28	#5 (ссылка)
janny21 Новичок Регистрация: 17.12.2011 Сообщений: 3 Репутация: 0	спасибо!

26.01.2012, 12:53	#6 (ссылка)
denwave Новичок Регистрация: 26.01.2012 Сообщений: 1 Репутация: 0	Здравствуйте. помогите мне тоже. Operating memory » explorer.exe(304) - a variant of Win32/Spy.Shiz.NCE trojan - unable to clean http://ge.tt/8XgwbmC eset http://ge.tt/9L8RcmC uVS

26.01.2012, 12:55	#7 (ссылка)
Bartimeus Стажёр Регистрация: 21.12.2011 Сообщений: 1,040 Репутация: 105	denwave, 1)Создайте СВОЮ тему 2)Выполните правила http://pchelpforum.ru/f26/t6442/

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads