В оперативной памяти троян Win32/Spy/SpyEye.CA в winlogone.
Нод определяет при каждой загрузке винды. Утилитами ничего не лечится (Веб + АВЗ).
Проверьте пож..
В оперативной памяти троян Win32/Spy/SpyEye.CA в winlogone.
Нод определяет при каждой загрузке винды. Утилитами ничего не лечится (Веб + АВЗ).
Проверьте пож..
Уважаемый(ая) ea-com, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DelBHO('{055FD26D-3A88-4e15-963D-DC8493744B1D}'); DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Адрес http://81.195.250.206 в доверенные IE вы сами прописали ?
Если нет, профиксите в HijackThis
а также вам знакомы все эти DNS ?Код:O15 - Trusted IP range: http://81.195.250.206
85.255.116.150 85.255.112.148, 83.220.35.98,83.220.43.42
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Все IP включая DNS прописаны мной. Пока к сожалению нет возможности машину отключить, ибо офис удалённый. Заменил руками winlogon.exe и oleaut32.dll - проблемные файлы. Пока тишина.
Тему прошу не закрывать!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо. Не заметил. Не мои DNS-ы.
+ к скрипту Профиксите в HijackThis
повторите логи, что с проблемой ?Код:O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
Рассказываю.
Бухгалтер (!!!) сама скачала и установила демо-версию Dr.WEB 7.0, который отловил и удалил троя. Инфы в логах не нашёл, но говорят файл 35377789.exe (привожу цифры "от балды"). Проблемы не наблюдается пока. Фиксил
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
но уже после "лечения".
Полёт нормальный.
Самое интересное, что cureIT из безопасного режима ничего не нашёл (хотя вирь может и не активен в безопасном).
Вот пока так.
Спасибо всем за участие и помощь.
рекомендации из поста №3 рекомендую всё равно выполнить, чтобы быть уверенными, что реестре всё тоже нормально зачистилось (да и название вируса в логах совсем другое ) возможно то что удалил веб не было единственным зловредом и система ещё недолечена.
+ не забудьте поменять все пароли !
Последний раз редактировалось regist; 23.03.2012 в 13:42.
regist, карантин приложил, ожидаю вашего вердикта. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ea-com, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.