в оперативной памяти вирус Win32/Spy.Shiz.NCE Пожалуйста, помогите от него избавиться
Printable View
в оперативной памяти вирус Win32/Spy.Shiz.NCE Пожалуйста, помогите от него избавиться
Уважаемый(ая) [B]LoginzaID: 434813236[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
подправил....)
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\apppatch\cijgwbe.exe','');
DeleteFile('C:\WINDOWS\apppatch\cijgwbe.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Спасибо)
вроде вирус не находит больше....но сохранилась проблема сайтом speed2.ru....который открывается автоматически в Опере.
Пофиксите в HiJack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru[/CODE]
Здравствуйте,сегодня после обновления баз Eset,этот вирус опять обьявился...
прикладываю свежие логи
[b]LoginzaID: 434813236[/b], AVZ скачивать по ссылке из правил оформления запроса, и нигде больше! Переделывайте логи!
переделал)
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\apppatch\mvldul.exe','');
DeleteFile('C:\WINDOWS\apppatch\mvldul.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Спасибо)
Вроде вируса больше нет,все отослал,логи прикрепил.
Удалите вручную
[CODE]C:\Documents and Settings\Кирилл\Application Data\8C9FFD2B
C:\Documents and Settings\Кирилл\Application Data\8C9FFA99
C:\WINDOWS\system32\20D2.tmp
C:\WINDOWS\system32\97A.tmp[/CODE]
C:\h739b89y.exe - CureIt?
Смените все пароли
Да,это CureIt.
а что это за файлы 20D2.tmp и 97A.tmp?они вообще ничего не весят
меня настораживает то,что eset когда делает полную проверку,то он останавливается на 30%,когда и проверяется диск С и дальше не идет...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\apppatch\\cijgwbe.exe - [B]Backdoor.Win32.Shiz.gcwm[/B] ( DrWEB: Trojan.PWS.Ibank.456 )[*] c:\\windows\\apppatch\\mvldul.exe - [B]Backdoor.Win32.Shiz.gdle[/B][/LIST][/LIST]