вирус Spy.Shiz.NBW

Printable View

04.11.2011, 16:59
andrejpan

Вложений: 3

вирус Spy.Shiz.NBW

Здравствуйте.
Антивирусник NOD32 обнаружил в файлах dwm.exe и taskhost.exe вирус Spy.Shiz.NBW (пишет, что очистка невозможна). Проявляется это в постоянном неожиданном отключении браузеров и открытых папок. (Каких усилий мне стоило написать это сообщение!!!)
Прикладываю логи.
Спасибо.
04.11.2011, 17:00
Info_bot

Уважаемый(ая) [B]andrejpan[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.11.2011, 19:00
Nikkollo

Здравствуйте.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Андрей\appdata\local\temp\ms0cfg32.exe','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\ms0cfg32.exe','');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\ms0cfg32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Users\Андрей\appdata\local\temp\ms0cfg32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
04.11.2011, 19:32
andrejpan

Вложений: 1

Всё сделал, как Вы написали. NOD32 больше ничего не находит.
Спасибо большое!!!
04.11.2011, 19:42
Nikkollo

Больше подозрений нет.

Прошу выполнить эту процедуру и загрузить там получившийся файл:
[url]http://virusinfo.info/showthread.php?t=3519[/url]
Информацию о загрузке приложите здесь.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Был Trojan.PWS.Ibank.353
Смените все пароли (особенно в интернет-банковских системах, если пользуетесь).
04.11.2011, 22:40
andrejpan

Спасибо за информацию.
Файл закачал. Информация:

Файл сохранён как 111104_183649_virusinfo_files_АНДРЕЙ-ОЛЯ-ДОМ_4eb430c19f52b.zip
Размер файла 16990165
MD5 c22aba8f38e872d67a77def81b943727

Вирус снимает пароли с клавиатуры? Интернет-банкингом не пользуемся уже пару лет, а другие пароли (на форумах, почте, например) надо менять?
Спасибо.
04.11.2011, 23:07
Nikkollo

Да, на почте смените обязательно. А так же на тех ресурсах, где не хотите потерять доступ с текущим логином.
05.11.2011, 23:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\a4f7~1\\appdata\\local\\temp\\ms0cfg32.exe - [B]Trojan.Win32.Jorik.Shiz.jgk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.43035, NOD32: Win32/Spy.Shiz.NCD trojan, AVAST4: Win32:MalOb-IP [Cryp] )[*] c:\\users\\андрей\\appdata\\local\\temp\\ms0cfg32.exe - [B]Trojan.Win32.Jorik.Shiz.jgk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.43035, NOD32: Win32/Spy.Shiz.NCD trojan, AVAST4: Win32:MalOb-IP [Cryp] )[/LIST][/LIST]