Eset Smart Security 5 каждый раз при включении компьютера и проверке файлов исполняемых при запуске системы выдает сообщение "Оперативная память » explorer.exe(252), модифицированный Win32/Spy.Shiz.NCE троянская программа, очистка невозможна". При выключении каждый раз выскакивает ошибка "dwwin.exe - сбой инициализации DLL, сбой при инициализации приложения из-за остановки рабочей станции".
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Virusnet, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\apppatch\ydtquhn.exe',''); DeleteFile('C:\WINDOWS\apppatch\ydtquhn.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=115035).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:F3 - REG:win.ini: load=C:\WINDOWS\apppatch\ydtquhn.exe F3 - REG:win.ini: run=C:\WINDOWS\apppatch\ydtquhn.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\ydtquhn.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\apppatch\ydtquhn.exe O4 - HKCU\..\Policies\Explorer\Run: [run] C:\WINDOWS\apppatch\ydtquhn.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe'); QuarantineFile('C:\Documents and Settings\Николай\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Николай\Application Data\ltzqai.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe'); QuarantineFile('C:\Documents and Settings\Николай\Application Data\oekx.exe',''); DeleteFile('C:\Documents and Settings\Николай\Application Data\oekx.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe'); QuarantineFile('C:\WINDOWS\system32\SDVC03.drv',''); QuarantineFile('C:\WINDOWS\apppatch\ydtquhn.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe,C:\Documents and Settings\Николай\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe,C:\RECYCLER\S-1-5-21-1508776962-4687872159-145509437-4936\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Николай\Application Data\oekx.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe,C:\Documents and Settings\Николай\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe,C:\RECYCLER\S-1-5-21-1508776962-4687872159-145509437-4936\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Николай\Application Data\oekx.exe'); DeleteFile('C:\WINDOWS\apppatch\ydtquhn.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Воспользовался первым присланным способом. Ошибка перед завершением работы больше не выскакивает, и антивирусник перестал выдавать окно с невозможностью удаления. Так что все должно быть нормально.
Чисто.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\apppatch\\ydtquhn.exe - Backdoor.Win32.Shiz.apti ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.55684, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:MalOb-JH [Cryp] )
Уважаемый(ая) Virusnet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
