Не могу побороть Win32/Spy.Shiz.NCE trojan [Backdoor.Win32.Shiz.fxtw ]

[Shepard]

Здравствуйте, уважаемая администрация Virusinfo!Возникли проблемы с компьютером. Есть подозрение, что в оперативной памяти завис шпион (Win32/Spy.Shiz.NCE trojan).Симптомы: 1) при запуске браузера IExplorer8.0 последний выдаёт сообщение "Восстановить последний сеанс?", который якобы был некорректно закончен. После нажатия на любую из двух кнопок ("восстановить" или "загрузить домашнюю стр") окно браузера закрывается. Это распространяется также на браузер Google CHROME. Держится только Opera.2) при сканировании Nod32 оперативной памяти выдаётся сообщение о том, что найден вирус Win32/Spy.Shiz.NCE trojan, который невозможно отправить в карантин или удалить.3) система страшно тормозит (параметры компа: CPU 1,7 GHz, оперативка 1 Гб; ОС - WinXP SP3): долго грузится Nod32, запуск браузера Opera длится полминуты.4) Касперский и Доктор Веб не обнаруживают никаких угроз.Прикрепляю логи.Пожалуйста, помогите вылечить комп.Спасибо!

[Info_bot]

Уважаемый(ая) Shepard, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mqrt.dll','');
 QuarantineFile('C:\WINDOWS\apppatch\pmyrgg.exe','');
 DeleteFile('C:\WINDOWS\apppatch\pmyrgg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System','');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'load');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[Shepard]

Всё сделал.
Комп стал работать гораздо быстрее.
Однако при запуске IExplorer8.0 один раз вылетела та же заставка с просьбой восстановить последний сеанс. Потом IE8.0 стал нормально запускаться без неё.
В карантине Nod32 лежат два файла pmyrgg.exe. Антивир говорит, что есть подозрение уже на Win32/Spy.Shiz.NCF trojan (а не ...NCE trojan). Файл лежит в папке Windows/apppatch.
Прилагаю новые логи. Файл карантина выслал.

[Techno]

Файл лежит в папке Windows/apppatch.

Что за файл? В логах порядок.


- Сделайте лог полного сканирования MBAM.

[Shepard]

Файл, на который ссылается Nod32 лежит в следующей папке C:\Windows\apppatch\pmyrgg.exe.
Прилагаю лог полного сканирования MBAM.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\apppatch\\pmyrgg.exe - Backdoor.Win32.Shiz.fxtw ( BitDefender: Gen:Variant.Kazy.91307 )