taskhost.exe - Вирус в оперативной памяти

[iRevive]

Недавно словил вирус Win32/Spy.Shiz.NCE. Все браузеры кроме IE закрываются.
Логи:

[Info_bot]

Уважаемый(ая) iRevive, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

Здравствуйте!!!

- Пофиксите в HijackThis:

Код:

F3 - REG:win.ini: load=C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE
F3 - REG:win.ini: run=C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE,C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE,C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE,

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Users\Sweetly','');
 QuarantineFile('C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE','');
 QuarantineFile('C:\Windows\System32\sinludjok.dll','');
 QuarantineFile('c:\program files\proxy switcher standard\proxyswitcher.exe','');
 QuarantineFile('C:\Windows\Tasks\{876A4AED-C2BC-4CD4-AB93-4A80FF29DE75}.job','');
 DeleteFile('C:\Windows\System32\sinludjok.dll');
 DeleteFile('C:\Users\SWEETL~1\AppData\Local\Temp\074693~1.EXE');
 DeleteFile('C:\Users\Sweetly');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[iRevive]

Проблема с браузером и вирусом решилась, но после фикса и выполнения скрипта пропал интеренет. Хотя соединение активно. Интернет по Wi-Fi работает, странички на планшете исправно грузятся, на компьютере - нет.

[regist]

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

ждём

[iRevive]

Вопрос глупый, но все же. Как загрузить логи если нет интернета?

[Techno]

попробуйте http://virusinfo.info/showthread.php?t=10267

Или отправьте с другого компьютера...

[regist]

Вопрос глупый, но все же. Как загрузить логи если нет интернета?

ответ наверно тоже глупый, если нету интернета то как вы здесь пишите ? наверно с другой учётки, компьтера ???

[iRevive]

Писалось с планшета, оттуда возможности загружать файлы не было. Вот логи

[Techno]

Файл из архива, который я прикрепил, положите в папку C:\Windows\System32

Повторите лог virusinfo_syscheck.zip

[iRevive]

Интернет заработал, спасибо. Скоро прикреплю лог

[Techno]

Интернет заработал, спасибо.

Мой косяк, извините.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\sweetl~1\\appdata\\local\\temp\\074693~ 1.exe - Backdoor.Win32.Shiz.bxeu ( DrWEB: Trojan.PWS.Ibank.456, BitDefender: Gen:Variant.Kazy.61377, AVAST4: Win32:Downloader-NGC [Trj] )