Зараза Win32/Spy.Shiz.NCE

Printable View

23.02.2012, 00:15
Rusik77

Вложений: 3

Зараза Win32/Spy.Shiz.NCE

Доброго времени суток!
Подхватил заразу (скорее всего, после установки загрузчика mediaget) - модифицированный Win32/Spy.Shiz.NCE (по определению NOD32). Понял это, когда попросился в автозагрузку «userinit». Через Reg Organizer увидел в автозагрузке две странных ветки реестра, которые не могут быть автоматически проверены на правильность, с именем «____991». Затем забил тревогу и NOD32.
Убил эти ветки. Удалил файл \____991.exe. Но файл, после удаления, тут же «восставал из пепла».
Удалил через AnVir Task Manager ветку реестра, ссылающуюся на процесс, а потом через File ASSASIN и сам файл по адресу C:\Documents and Settings\Admin\Local Settings\Temp\____991.exe. Комп сразу перезагрузился. Просканировал NOD32 и Malwarebytes Anti-Malware 1.60. Нашлись NOD32 и отправились в карантин ещё «множественные угрозы» в одном лице!?
[U] Проблемы:[/U] Сейчас всплывают подсказки от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом :89.108.67.190. Виснет и обрывается иннет.
Пытаюсь скачать AVPTool11 уже часов шесть, чтобы проверится в безопасном режиме. Раздача идёт со скоростью 2KB/s. Выкладываю логи на форум с надеждой, что проблема и без сканирования в безопасном режиме себя проявит.
Благодарен за помощь. С уважением, Руслан.
23.02.2012, 00:16
Info_bot

Уважаемый(ая) [B]Rusik77[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.02.2012, 01:51
Techno

Здравствуйте!!!

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.
23.02.2012, 03:31
Rusik77

Вложений: 3

Выполнил.
23.02.2012, 09:59
Techno

Что с проблемой?
23.02.2012, 12:13
Rusik77

C периодичностью в 2-3 минуты вываливается сообщение от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом. Только теперь на :213.186.116.18. Вирусные базы AVZ обновлять не хочет (ошибка [21, 00002EFF]). При попытке обновления вываливается попытка соединения с вредоносным сайтом: 89.108.67.190.

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

На :213.186.116.18 при входе на mail.ru. При обновлении баз AVZ - на: 89.108.67.190. На другие сайты и программы пока аналогичных реакций не было.
23.02.2012, 13:56
Techno

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
23.02.2012, 16:35
Rusik77

Malwarebytes Anti-Malware реагирует, с всплывающей инфой: 89.108.67.190, только на адрес [URL]http://www.z-oleg.com/secur/avz_up/[/URL]. С другого адреса [URL]http://avz.virusinfo.info/avz_up/[/URL] обновить AVZ удалось. Сделаю лог и выложу. Ранее MBAM из подозрительных находил только "keygen" в инсталяшках.
23.02.2012, 17:04
Rusik77

Вложений: 1

Лог сканирования МВАМ

Прикрепляю лог.
23.02.2012, 18:07
Rusik77

Ещё

При переходе по поисковым ссылкам из Googl также всплывает подсказка от "Защитного модуля" МВАМ, что была предотвращена попытка доступа к вредоносному веб-сайту. При этом, сайт по ссылке почти всегда открывается. Или, то на что среагировал МВАМ не открылось (допустим, в другом окне), или он опомнился и передумал? Непонятна и реакция МВАМ на mail.ru. Что файл ____991.exe был вирусный - понятно. Т.к. не помню нормальных файлов, которые после удаления тут же восстанавливались да ещё в автозагрузку просились.
Но и доверять ли теперь всплывающим подсказкам от МВАМ? Подписался на пробный период только чтобы попробовать Мгновенное сканирование. Почитал, что [URL="http://virusinfo.info/showthread.php?t=117036"]Win32/Spy.Shiz.NCE[/URL] орудует в оперативной памяти и раз НОД32 его не может удалить, то пусть МВАМ попробует. Но МВАМ его не видел...!? :O
23.02.2012, 18:57
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
23.02.2012, 23:16
Rusik77

Вложений: 1

лог ComboFix

[URL="http://virusinfo.info/showthread.php?t=58309"]Сделал[/URL]
23.02.2012, 23:21
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Больше ничего необычного.

Что с проблемой?
24.02.2012, 11:14
Rusik77

Combofix /Uninstall

При выполнении [B]Combofix /Uninstall [/B] отвечает: "Windows не удалось найти [B]Combofix[/B]".
[B]Combofix [/B]на рабочем столе!? :O Не переименовывал его.
Его удалить вручную? Нужно ли удалять каталог Qoobox, созданный ComboFix?
Дальнейшие рекомендации, как я понял, нет смысла делать, пока этот шаг не выполнен?

Уведомление от МВАМ при входе на mail.ru так и всплывает.
24.02.2012, 15:04
Techno

Удаляйте так:
[QUOTE]Скачайте OTCleanIt, запустите, нажмите Clean up[/QUOTE]

Удалите MBAM.

Кроме того, что ругается MBAM, еще проблемы остались?

В логах порядок.
24.02.2012, 18:40
Rusik77

MBAM выгрузил.
Скрипт с [FONT=monospace]d[/FONT]efendium.info от (AndreyKa) выполнил.
Уязвимости устранил.
Больше никаких странностей со стороны компьютера не наблюдаю.
Благодарен за помощь! :) Ура профессионалам!
25.02.2012, 14:32
thyrex

[B]Смените все пароли [/B]
26.02.2012, 14:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]