Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE

Extends · 26.01.2012, 15:43

Добрый день.
Нод выдает:
Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Вот лог uVS:
лог uVS

Angel-iz-Ada · 26.01.2012, 15:46

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;uVS v3.73.1 script [http://dsrt.dyndns.org]

delref HTTP://MAIL.RU/CNT/7993/
bl 5ECA34A3445D16D91CEECB6D1143318D 273920
delall %SystemRoot%\APPPATCH\UXOQQPG.EXE
deltmp
delnfr
regt 12
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Extends · 26.01.2012, 16:08

А если ни архива, ни папки zoo не появилось после перезагрузки?

Angel-iz-Ada · 26.01.2012, 16:09

ничего страшного, забыл ZOO добавить

делайте дальше

Extends · 26.01.2012, 16:33

Вот
http://zalil.ru/upload/32582322

Angel-iz-Ada · 26.01.2012, 16:33

Чисто. Ничего удалять не нужно. Выполните напоследок это:
http://pchelpforum.ru/showpost.php?p=677095&postcount=6

Extends · 26.01.2012, 16:34

Спасибо большое.

Extends · 02.02.2012, 16:24

Добрый день. Не уверен, проблема осталась, или её "подхватили" заново, компьютер находится в паре тысяч км от меня. Но говорят что ничего не трогали, не нажимали итд.

лог uVS:
http://zalil.ru/32629075

Bartimeus · 02.02.2012, 16:30

Extends, Лог AVZ обязателен.

safety · 02.02.2012, 16:37

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BJTMLQDV1O8.EXE
addsgn A7679B19B93A7FA0619646AB5EC81286E18E9618E3AFF7FFB0C3C53F94DE2226997D073DE83FB3A1D6B9849FC5D25990DAB5A618FDB0E6462D9F811FC706A1B7 8 a variant of Win32/Kryptik.ZSX [NOD32]

bl A99E87DBB933A92BEBC819BC2F449A44 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BJTMLQDV1O8.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected
----------
далее,
выполните быстрое сканирование в Malwarebytes

Extends · 02.02.2012, 17:29

Цитата:

Сообщение от Bartimeus

Extends, Лог AVZ обязателен.

http://zalil.ru/32629587

safety · 02.02.2012, 17:31

Extends,
выполняем скрипт в uVS

Extends · 02.02.2012, 18:32

Вроде симптомы исчезли. Будем смотреть дальше. Спасибо огромное.
Zoo отправил.
P.s. mbam проверка идет еще.
Сделалась:
http://zalil.ru/32629877

---------- Добавлено в 19:32 ---------- Предыдущее сообщение было написано в 19:20 ----------

mbam можно закрывать?)

safety · 02.02.2012, 19:03

это удалите в мбам

Цитата:

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

далее,
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

alexslivkin · 13.02.2012, 15:07

Добрый день. Аналогичная проблема Нод выдает:
Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна. Подскажите чайнику :-) что нужно сделать и прислать?

26.01.2012, 15:43	#1 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE Добрый день. Нод выдает: Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна Вот лог uVS: лог uVS

26.01.2012, 15:46	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код: ;uVS v3.73.1 script [http://dsrt.dyndns.org] delref HTTP://MAIL.RU/CNT/7993/ bl 5ECA34A3445D16D91CEECB6D1143318D 273920 delall %SystemRoot%\APPPATCH\UXOQQPG.EXE deltmp delnfr regt 12 czoo restart И жмем Выполнить. После выполнения скрипта - ПК перезагрузится. В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес. После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

02.02.2012, 16:37	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BJTMLQDV1O8.EXE addsgn A7679B19B93A7FA0619646AB5EC81286E18E9618E3AFF7FFB0C3C53F94DE2226997D073DE83FB3A1D6B9849FC5D25990DAB5A618FDB0E6462D9F811FC706A1B7 8 a variant of Win32/Kryptik.ZSX [NOD32] bl A99E87DBB933A92BEBC819BC2F449A44 185856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BJTMLQDV1O8.EXE chklst delvir deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Оперативная память » explorer.exe(280) - модифицированный Win32/Agent.SYU	a_avatar	Безопасность	5	25.12.2011 04:18
Оперативная память » explorer.exe(2144) - модифицированный Win32/TrojanDownloader.Car	dindin	Безопасность	3	16.12.2011 15:44
Оперативная память » explorer.exe(568) - модифицированный Win32/TrojanDownloader.Carb	Pahan132	Безопасность	1	15.12.2011 22:14
Оперативная память » explorer.exe(1820) модифицированный Win32/Carberp.	bis2007	Безопасность	5	28.11.2011 02:31
Оперативная память » explorer.exe(2004) - модифицированный Win32/TrojanDownloader.Car	dywa	Безопасность	11	23.11.2011 20:26

26.01.2012, 16:08	#3 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	А если ни архива, ни папки zoo не появилось после перезагрузки?

26.01.2012, 16:09	#4 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	ничего страшного, забыл ZOO добавить делайте дальше

26.01.2012, 16:33	#5 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	Вот http://zalil.ru/upload/32582322

26.01.2012, 16:33	#6 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Чисто. Ничего удалять не нужно. Выполните напоследок это: http://pchelpforum.ru/showpost.php?p=677095&postcount=6

26.01.2012, 16:34	#7 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	Спасибо большое.

02.02.2012, 16:24	#8 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	Добрый день. Не уверен, проблема осталась, или её "подхватили" заново, компьютер находится в паре тысяч км от меня. Но говорят что ничего не трогали, не нажимали итд. лог uVS: http://zalil.ru/32629075

02.02.2012, 16:30	#9 (ссылка)
Bartimeus Стажёр Регистрация: 21.12.2011 Сообщений: 1,040 Репутация: 105	Extends, Лог AVZ обязателен.

02.02.2012, 17:31	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Extends, выполняем скрипт в uVS

02.02.2012, 18:32	#13 (ссылка)
Extends Новичок Регистрация: 26.01.2012 Сообщений: 29 Репутация: 0	Вроде симптомы исчезли. Будем смотреть дальше. Спасибо огромное. Zoo отправил. P.s. mbam проверка идет еще. Сделалась: http://zalil.ru/32629877 ---------- Добавлено в 19:32 ---------- Предыдущее сообщение было написано в 19:20 ---------- mbam можно закрывать?)

13.02.2012, 15:07	#15 (ссылка)
alexslivkin Новичок Регистрация: 13.02.2012 Сообщений: 4 Репутация: 0	Добрый день. Аналогичная проблема Нод выдает: Оперативная память » explorer.exe(1924) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна. Подскажите чайнику :-) что нужно сделать и прислать?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)