Показано с 1 по 13 из 13.

Прошу помощи Win32/Spy.Shiz.NCE (заявка № 112757)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46

    Прошу помощи Win32/Spy.Shiz.NCE

    Здравствуйте. Вот столкнулся с такой проблемой: Из файлов журнала Nod32 4
    "21.11.2011 20:27:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(884) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна MICROSOF-219ECA\Admin"
    Что с этим делать и как с этим бороться. Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) LehaYasha, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\apppatch\efdckjx.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
     DeleteFile('C:\WINDOWS\apppatch\efdckjx.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=112757).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    Спасибо большое за помощь. Я приятно удевлен. Я очень благодарен. Вот выкладываю карантин.
    Файл сохранен как: 111124_183620_virus_4ece8ea4ea846.zip
    Последний раз редактировалось LehaYasha; 24.11.2011 в 23:13.

  7. #5
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    вот логи
    Вложения Вложения

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    virusinfo_syscheck.zip‎ старый приложили.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
     RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load','');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
     RegKeyStrParamWrite('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load','');
    end.
    Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    Вирус сново вернулся(. Nod 32 отловил пару таких вирусов на диске С а теперь сново в оперативке сидит.
    25.11.2011 20:23:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(884) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна MICROSOF-219ECA\Admin
    Прикладываю то что вы просили зделал только седня.
    Вложения Вложения
    Последний раз редактировалось LehaYasha; 25.11.2011 в 22:38.

  11. #8
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    вот скрин
    Изображения Изображения

  12. #9
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    После повторного выполнения первого скрипта от Bratez вроде опять чисто. но как обезопасить комп

  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Воздержитесь от посещения сомнительных сайтов.

    Установите все обновления безопасности, вышедшие после Service Pack 3:
    http://windowsupdate.microsoft.com/

    Выполните скрипт в AVZ отсюда:
    http://dataforce.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe','');
     QuarantineFile('C:\WINDOWS\apppatch\cwtnnc.exe','');
     QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');
     QuarantineFile('c:\docume~1\admin\locals~1\temp\~nsu.tmp\au_.exe','');
     DeleteFile('c:\docume~1\admin\locals~1\temp\~nsu.tmp\au_.exe');
     DeleteFile('C:\WINDOWS\apppatch\cwtnnc.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
     DeleteFile('C:\WINDOWS\system32\cpldapu\produkey.exe');
    BackupRegKey('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'key1');
    BackupRegKey('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'key2');
    ExecuteWizard('SCU',2,2,true);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

    В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файлы
    key1_<цыферки>.reg
    key2_<цыферки>.reg
    Заархивируйте их и приложите здесь.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  14. #11
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    Обновления безопасности установил вручную "капец" их много.
    первый скрипт выполнил лог вот
    Вложения Вложения

  15. #12
    Junior Member Репутация
    Регистрация
    21.11.2011
    Сообщений
    10
    Вес репутации
    46
    из avz_log.txt‎ выполнил все но уязвимость для Internet Explorer осталась но я им не пользуюсь практически никогда.

  16. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\apppatch\\efdckjx.exe - Backdoor.Win32.Shiz.adzr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.Zybut.1, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:MalOb-IP [Cryp] )


  • Уважаемый(ая) LehaYasha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Spy.Shiz.NCE - заражен Explorer.exe - прошу помощи
      От Erand2901 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2012, 15:57
    2. Trojan.Win32.bkiu Прошу помощи.
      От zhenarik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.10.2011, 09:29
    3. Win32.Buzus.enth. Прошу помощи.
      От wizard_vrn в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.06.2010, 14:46
    4. Win32/Kryptik.SQ - прошу помощи
      От Skippy в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.07.2009, 15:10
    5. Прошу помощи: Win32.Mutant.*
      От Slavva в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01179 seconds with 20 queries