-
Junior Member
- Вес репутации
- 50
Win32/Spy.Shiz.NBX троянская программа
Добрый день!
Началось с того что мой Nod32 ESS 4.0 Начало каждые 5-10 секунд перемещать файл в карантин путь c:\windows\AppPach\pzanjlr.dat (Win32/Spy.Shiz.NBX троянская программа). После перемещения файл создавался заного.
Информация от НОда "Событие произошло в новом файле, созданном следующим приложением c:\windows\system32\winlogon.exe".
В последнюю неделю очень сильно стала торомзить система в работе с интернетом.
Спасибо.
Последний раз редактировалось thyrex; 29.02.2012 в 21:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Malina26, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте, Malina26,
Все действия делать НЕ из терминальной сессии (потребуется перезагрузка!):
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь;
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit',GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
Это все Ваше?
Код:
O15 - ESC Trusted Zone: http://*.2ip.ru
O15 - ESC Trusted Zone: http://s7.addthis.com
O15 - ESC Trusted Zone: http://get.adobe.com
O15 - ESC Trusted Zone: http://www.apeha.ru
O15 - ESC Trusted Zone: http://www.avon.ru
O15 - ESC Trusted Zone: http://www.betcity.ru
O15 - ESC Trusted Zone: http://content.betfair.com
O15 - ESC Trusted Zone: http://site.sports.betfair.com
O15 - ESC Trusted Zone: http://sports.betfair.com
O15 - ESC Trusted Zone: http://www.betfair.com
O15 - ESC Trusted Zone: http://*.betusamatch.com
O15 - ESC Trusted Zone: http://ftp.us.dell.com
O15 - ESC Trusted Zone: http://support.euro.dell.com
O15 - ESC Trusted Zone: http://xserv.dell.com
O15 - ESC Trusted Zone: http://www.deutsche-bank.de
O15 - ESC Trusted Zone: http://googleads.g.doubleclick.net
O15 - ESC Trusted Zone: http://*.drp.su
O15 - ESC Trusted Zone: http://www.ebays.ru
O15 - ESC Trusted Zone: http://*.eurosupport.ru
O15 - ESC Trusted Zone: http://wm.exchanger.ru
O15 - ESC Trusted Zone: http://www.studium.fh-koeln.de
O15 - ESC Trusted Zone: http://www.freedrweb.com
O15 - ESC Trusted Zone: http://sng.garena.com
O15 - ESC Trusted Zone: http://www.google.ru
O15 - ESC Trusted Zone: http://www.gosuslugi.ru
O15 - ESC Trusted Zone: http://realplayer.vo.llnwd.net
O15 - ESC Trusted Zone: http://www.marathonbet.com
O15 - ESC Trusted Zone: http://mk.maxthon.cn
O15 - ESC Trusted Zone: http://www.myie2.com
O15 - ESC Trusted Zone: http://www.octoshape.com
O15 - ESC Trusted Zone: http://www.radioswisspop.ch
O15 - ESC Trusted Zone: http://europe.real.com
O15 - ESC Trusted Zone: http://www.roboform.com
O15 - ESC Trusted Zone: http://ticket.rzd.ru
O15 - ESC Trusted Zone: http://www.sbrf.ru
O15 - ESC Trusted Zone: http://pmb.update.sony.net
O15 - ESC Trusted Zone: http://home.sopserv.com
O15 - ESC Trusted Zone: http://*.tfile.ru
O15 - ESC Trusted Zone: http://*.tv-here.ru
O15 - ESC Trusted Zone: http://www.tvday.ru
O15 - ESC Trusted Zone: http://pages.tvunetworks.com
O15 - ESC Trusted Zone: http://tag.tvunetworks.com
O15 - ESC Trusted Zone: http://www.tvunetworks.com
O15 - ESC Trusted Zone: http://*.ufmssk.ru
O15 - ESC Trusted Zone: http://arbitrage.webmoney.ru
O15 - ESC Trusted Zone: http://events.webmoney.ru
O15 - ESC Trusted Zone: http://keeper3.webmoney.ru
O15 - ESC Trusted Zone: http://passport.webmoney.ru
O15 - ESC Trusted Zone: http://wiki.webmoney.ru
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://advisor.wmtransfer.com
O15 - ESC Trusted Zone: http://antivirus.wmtransfer.com
O15 - ESC Trusted Zone: http://newsblog.wmtransfer.com
O15 - ESC Trusted Zone: http://telepay.wmtransfer.com
O15 - ESC Trusted Zone: http://*.ya.ru
O15 - ESC Trusted Zone: http://punto.yandex.ru
O15 - ESC Trusted Zone: http://suggest.yandex.ru
O15 - ESC Trusted Zone: http://www.yandex.ru
O15 - ESC Trusted Zone: http://*.yandex.ru
O15 - ESC Trusted Zone: http://*.zoloto585.ru
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://192.168.0.2
O15 - ESC Trusted IP range: http://188.40.74.9
O15 - ESC Trusted IP range: http://127.0.0.1
O15 - ESC Trusted IP range: http://174.36.58.139
Что незнакомо тоже можете сделать фикс.
Код:
Версия Windows: 5.2.3790, Service Pack 1
???
Уже давно есть SP2 для WinServer 2003. (как x32 так и x64). Рекомендую обновиться.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 50
Файл отправил!
Лицензии нет! На SP2
Посмотрите еще раз.
Спасибо.
Последний раз редактировалось thyrex; 29.02.2012 в 21:15.
-
Junior Member
- Вес репутации
- 50
Я так понимаю что моя тема еще в работе.
Потому что нет сообщения "ничего плохого не обнаружено"
Спасибо.
-
В этих логах чисто. Давайте сделаем еще лог MBAM
Сообщение от
Malina26
Лицензии нет! На SP2
Выбивайте у начальства
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 50
Сообщение от
crush13
В этих логах чисто. Давайте сделаем еще
лог MBAM
Выбивайте у начальства
Выбил, обновил! Посмотри лог.
Спасибо
Последний раз редактировалось thyrex; 29.02.2012 в 21:15.
-
Удалите в MBAM только эти строки
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Остальное Ваши keygen'ы
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-