Оперативная память = explorer.exe(452) - модифицированный Win32

Printable View

21.04.2012, 12:52
Natali910

Вложений: 3

Оперативная память = explorer.exe(452) - модифицированный Win32

Здравствуйте! :)
Прошу помощи в решении моей проблемы.

Оперативная память = explorer.exe(452) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
21.04.2012, 12:53
Info_bot

Уважаемый(ая) [B]Natali910[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
21.04.2012, 13:19
regist

Здравствуйте!

[QUOTE][B][COLOR="#FF0000"]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 18.02.2012 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]

[B]Обновите базы AVZ !!![/B]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\msuu0.exe','');
DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\msuu0.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FlashPlayerUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
21.04.2012, 13:56
Natali910

Вложений: 2

Базы обновила.
Скрипт выполнила.
Файл quarantine загрузила.
Сделала повторные логи.
21.04.2012, 14:22
Bratez

В логах чисто.
Что с проблемой?
21.04.2012, 20:12
Natali910

по-моему, все в порядке :)
спасибо огромное!

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 44 минуты[/I][/B][/color][/size]

сейчас снова уведомление от антивируса:
Оперативная память = C:\Documents and Settings\User\Application Data\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна
22.04.2012, 08:56
Bratez

Давайте новые логи.
22.04.2012, 11:50
thyrex

+ Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
23.04.2012, 01:11
Natali910

Вложений: 4

Сделала
23.04.2012, 17:38
thyrex

Ничего необычного логи не показали
24.04.2012, 21:15
Natali910

спасибо :)
по-моему, данная проблема решилась как-то сама
25.04.2012, 20:14
regist

Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

+ Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru][B]новые обновления[/B][/url] для Windows
26.04.2012, 20:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\23a4~1\\locals~1\\temp\\msuu0.exe - [B]Trojan-Dropper.Win32.Injector.eohm[/B] ( DrWEB: Trojan.Winlock.5883, BitDefender: Trojan.Generic.KDV.602479, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:Downloader-OAJ [Trj] )[/LIST][/LIST]