winlogon.exe(808) a variant of Win32/Spy.SpyEye.CA trojan unable to clean [Trojan-Spy.Win32.SpyEyes.ajxs ]

Printable View

23.02.2013, 13:52
Pavel99

Вложений: 3

winlogon.exe(808) a variant of Win32/Spy.SpyEye.CA trojan unable to clean [Trojan-Spy.Win32.SpyEyes.ajxs ]

Здравствуйте.
CureIt в безопасном режиме оказалась бессильна.
Пожалуйста, помогите справиться с вирусом.
Заранее спасибо,
23.02.2013, 13:54
Info_bot

Уважаемый(ая) [B]Pavel99[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.02.2013, 14:12
Никита Соловьев

[FONT=Century Gothic][COLOR="#ff3333"][SIZE=3]> Выполните скрипт в AVZ:[/SIZE][/COLOR][/FONT]

[CODE]
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\systemhost\24FC2AE3B8B.exe','');
DeleteFile('C:\systemhost\24FC2AE3B8B.exe');
DeleteFileMask('C:\systemhost','*',true);
DeleteDirectory('C:\systemhost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXG1JWI');
//cleanup
DeleteService('1C965926');
DeleteService('1D3E0DE1');
DeleteService('25C4B7ED');
DeleteService('273FE1A2');
DeleteService('2DED9969');
DeleteService('353CA26E');
DeleteService('4389432A');
DeleteFile('c:\documents and settings\pavel\local settings\temp\4389432A.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\353CA26E.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\2DED9969.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\273FE1A2.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\25C4B7ED.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\1D3E0DE1.sys');
DeleteFile('c:\documents and settings\pavel\local settings\temp\1C965926.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

[FONT=Century Gothic][COLOR="#ff3333"][SIZE=3]> Исправьте при помощи hijackthis:[/SIZE][/COLOR][/FONT]

[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - (no file)
[/CODE]

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
[COLOR="#ff3333"]_________________[/COLOR]
[SIZE=1][URL="http://virusinfo.info/showthread.php?t=7239"]> как выполнить скрипт в AVZ[/URL] | [URL="http://virusinfo.info/showthread.php?t=4491"]> как исправить ("пофиксить") при помощи hijackthis[/URL][/SIZE]
23.02.2013, 19:10
Pavel99

Вложений: 3

Сделал, согласно инструкции. Карантин выслал. Отчеты прилагаю.
23.02.2013, 19:18
Никита Соловьев

Поменяйте пароли на сайтах и ресурсах, которыми часто пользуетесь. Проблема решена?
23.02.2013, 19:26
Pavel99

Пароли обязательно менять?
Сообщение о вирусе более не появляется.
Вы делаете большое дело, такие проекты обязательно нужно поддерживать.
Спасибо!
23.02.2013, 19:28
Никита Соловьев

[quote="Pavel99;975651"]Пароли обязательно менять?[/quote]
Можете не менять, но тогда не удивляйтесь, что с вашей странички в соц. сети вдруг начнут рассылать спам, а в электронном кошельке пропадут деньги.

Специализация вредоносной программы spyeye - кража паролей и личной информации.
23.02.2013, 19:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\systemhost\\24fc2ae3b8b.exe - [B]Trojan-Spy.Win32.SpyEyes.ajxs[/B] ( BitDefender: Gen:Variant.Symmi.11127 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]