Модифицированный Win32/Spy.SpyEye.CA троянская программа [Trojan-Dropper.Win32.Injector.fpoo ]

[Astra20000]

Здравствуйте! Помогите, пожалуйста, вылечить компьютер. Nod32 выводит сообщение - "оперативная память=winlogon.exe(1012) модифицированный WIN32/Spy.SpyEye.CA троянская программа очистка невозможна".virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

[Info_bot]

Уважаемый(ая) Astra20000, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFileF('C:\systemhost','*', true,'',0 ,0);
   QuarantineFile('C:\systemhost\24FC2AE392E.exe','');
   DeleteFile('C:\systemhost\24FC2AE392E.exe');
   RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F3EXHZF9I');
  DeleteFileMask('C:\systemhost', '*', true);
  DeleteDirectory('C:\systemhost',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
  ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте лог полного сканирования МВАМ.

- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

по окончанию лечения смените все пароли !

[Astra20000]

Карантин прислала. Повторные логи тоже.

Лог полного сканирования МВАМ сделать не удается. После всех проверок программа не сохраняет его. Выводит такое окно с подозрительными объектами mbam.jpg

Результат загрузки
Файл сохранён как 120820_190307_virusinfo_files_EMPIRE_503289eb72576 .zip
Размер файла 32566323
MD5 e2f6ce0e23ec3c058a738814fe900b5b

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

что с проблемой ?

[Astra20000]

Скрипт выполнила. Nod32 молчит. Похоже, что все исправилось. Большое спасибо!

[regist]

Советы и рекомендации после лечения

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\systemhost\\24fc2ae392e.exe - Trojan-Dropper.Win32.Injector.fpoo