Модифицированный Win32/Spy.Shiz.NCE

Dayana · 27.05.2012, 19:42

Добрый день, в последнее время NOD стал выдавать следующее уведомление:
Оперативная память = explorer.exe(272) модифицированный Win32/Spy.Shiz.NCE троянская программа. Очистка невозможна
Подскажите, пожалуйста, что с этим феноменом делать?
Логи:
AVZ
UVS
RSIT

safety · 27.05.2012, 20:09

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 73E9F31E176A327C0BD4C680E18A126D570ABEF6E1E19A3A85ABAED66AD619DD0926C33F2CD4DF4943A25FDF467EAE783FDF8275EBA8D90E2D5EA104414422A2 8 Shiz.0527
zoo %SystemRoot%\APPPATCH\JWKIJGJ.EXE
delall %SystemRoot%\APPPATCH\JWKIJGJ.EXE
delall %SystemRoot%\TASKMNGR.EXE
chklst
delvir
delall %SystemRoot%\PRAETORIAN.EXE
delref HTTP://XN--80AFAT5B.XN--P1AI
delref HTTP://WWW.INET123.RU/
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

Dayana · 28.05.2012, 12:33

После перезагрузки NOD не выдает подобное уведомление при сканировании файлов, которые проводятся во время запуска системы. Архив отправила на почту (это нормально, что перед названием шаблона названия архива, который Вы указали, написано ZOO?)
Отчет быстрого сканирования в Malwarebytes

safety · 28.05.2012, 12:37

удалите все в мбам, за исключением

Цитата:

Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузиите систему и еще раз повторите быстрое сканирование в мбам

Dayana · 28.05.2012, 13:17

Отчет

safety · 28.05.2012, 13:19

чисто,
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Dayana · 28.05.2012, 13:27

В блокноте отобразилось 3 критические уязвимости, прошла по ссылкам и обновила: Adobe Flash Player, Sun Java JDK и JRE, QuickTime

safety · 28.05.2012, 13:31

это правильно. на этом пока все.

Dayana · 28.05.2012, 13:32

Благодарю за помощь

27.05.2012, 19:42	#1 (ссылка)
Dayana Новичок Регистрация: 27.05.2012 Сообщений: 40 Репутация: 0	Модифицированный Win32/Spy.Shiz.NCE Добрый день, в последнее время NOD стал выдавать следующее уведомление: Оперативная память = explorer.exe(272) модифицированный Win32/Spy.Shiz.NCE троянская программа. Очистка невозможна Подскажите, пожалуйста, что с этим феноменом делать? Логи: AVZ UVS RSIT

27.05.2012, 20:09	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 73E9F31E176A327C0BD4C680E18A126D570ABEF6E1E19A3A85ABAED66AD619DD0926C33F2CD4DF4943A25FDF467EAE783FDF8275EBA8D90E2D5EA104414422A2 8 Shiz.0527 zoo %SystemRoot%\APPPATCH\JWKIJGJ.EXE delall %SystemRoot%\APPPATCH\JWKIJGJ.EXE delall %SystemRoot%\TASKMNGR.EXE chklst delvir delall %SystemRoot%\PRAETORIAN.EXE delref HTTP://XN--80AFAT5B.XN--P1AI delref HTTP://WWW.INET123.RU/ deltmp delnfr regt 12 czoo restart перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

28.05.2012, 13:19	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чисто, Выполните скрипт в AVZ при наличии доступа в интернет: -------- Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false) else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0); end. --------- После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
модифицированный Win32/Spy.Shiz.NCE	vinnter	Безопасность	5	08.02.2012 08:41
модифицированный Win32/Spy.Shiz.NCE	Noir777	Безопасность	6	30.01.2012 12:17
модифицированный Win32/Spy.Shiz.NCE	janny21	Безопасность	6	26.01.2012 12:55
Модифицированный Win32/Spy.Shiz.NCE	CyclonBee	Безопасность	8	22.01.2012 02:36
модифицированный Win32/Spy.Shiz.NCE	Rebus77	Безопасность	10	16.12.2011 16:33

28.05.2012, 12:33	#3 (ссылка)
Dayana Новичок Регистрация: 27.05.2012 Сообщений: 40 Репутация: 0	После перезагрузки NOD не выдает подобное уведомление при сканировании файлов, которые проводятся во время запуска системы. Архив отправила на почту (это нормально, что перед названием шаблона названия архива, который Вы указали, написано ZOO?) Отчет быстрого сканирования в Malwarebytes

28.05.2012, 13:17	#5 (ссылка)
Dayana Новичок Регистрация: 27.05.2012 Сообщений: 40 Репутация: 0	Отчет

28.05.2012, 13:27	#7 (ссылка)
Dayana Новичок Регистрация: 27.05.2012 Сообщений: 40 Репутация: 0	В блокноте отобразилось 3 критические уязвимости, прошла по ссылкам и обновила: Adobe Flash Player, Sun Java JDK и JRE, QuickTime

28.05.2012, 13:31	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	это правильно. на этом пока все.

28.05.2012, 13:32	#9 (ссылка)
Dayana Новичок Регистрация: 27.05.2012 Сообщений: 40 Репутация: 0	Благодарю за помощь

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads