Зараза Win32/Spy.Shiz.NCE

[Rusik77]

Доброго времени суток!
Подхватил заразу (скорее всего, после установки загрузчика mediaget) - модифицированный Win32/Spy.Shiz.NCE (по определению NOD32). Понял это, когда попросился в автозагрузку «userinit». Через Reg Organizer увидел в автозагрузке две странных ветки реестра, которые не могут быть автоматически проверены на правильность, с именем «____991». Затем забил тревогу и NOD32.
Убил эти ветки. Удалил файл \____991.exe. Но файл, после удаления, тут же «восставал из пепла».
Удалил через AnVir Task Manager ветку реестра, ссылающуюся на процесс, а потом через File ASSASIN и сам файл по адресу C:\Documents and Settings\Admin\Local Settings\Temp\____991.exe. Комп сразу перезагрузился. Просканировал NOD32 и Malwarebytes Anti-Malware 1.60. Нашлись NOD32 и отправились в карантин ещё «множественные угрозы» в одном лице!?
Проблемы: Сейчас всплывают подсказки от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом :89.108.67.190. Виснет и обрывается иннет.
Пытаюсь скачать AVPTool11 уже часов шесть, чтобы проверится в безопасном режиме. Раздача идёт со скоростью 2KB/s. Выкладываю логи на форум с надеждой, что проблема и без сканирования в безопасном режиме себя проявит.
Благодарен за помощь. С уважением, Руслан.

[Info_bot]

Уважаемый(ая) Rusik77, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

Здравствуйте!!!

- Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[Rusik77]

Выполнил.

[Techno]

Что с проблемой?

[Rusik77]

C периодичностью в 2-3 минуты вываливается сообщение от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом. Только теперь на :213.186.116.18. Вирусные базы AVZ обновлять не хочет (ошибка [21, 00002EFF]). При попытке обновления вываливается попытка соединения с вредоносным сайтом: 89.108.67.190.

Добавлено через 11 минут

На :213.186.116.18 при входе на mail.ru. При обновлении баз AVZ - на: 89.108.67.190. На другие сайты и программы пока аналогичных реакций не было.

[Techno]

Сделайте лог полного сканирования MBAM.

[Rusik77]

Malwarebytes Anti-Malware реагирует, с всплывающей инфой: 89.108.67.190, только на адрес http://www.z-oleg.com/secur/avz_up/. С другого адреса http://avz.virusinfo.info/avz_up/ обновить AVZ удалось. Сделаю лог и выложу. Ранее MBAM из подозрительных находил только "keygen" в инсталяшках.

[Rusik77]

Прикрепляю лог.

[Rusik77]

При переходе по поисковым ссылкам из Googl также всплывает подсказка от "Защитного модуля" МВАМ, что была предотвращена попытка доступа к вредоносному веб-сайту. При этом, сайт по ссылке почти всегда открывается. Или, то на что среагировал МВАМ не открылось (допустим, в другом окне), или он опомнился и передумал? Непонятна и реакция МВАМ на mail.ru. Что файл ____991.exe был вирусный - понятно. Т.к. не помню нормальных файлов, которые после удаления тут же восстанавливались да ещё в автозагрузку просились.
Но и доверять ли теперь всплывающим подсказкам от МВАМ? Подписался на пробный период только чтобы попробовать Мгновенное сканирование. Почитал, что Win32/Spy.Shiz.NCE орудует в оперативной памяти и раз НОД32 его не может удалить, то пусть МВАМ попробует. Но МВАМ его не видел...!?

[Techno]

- Сделайте лог ComboFix.

[Rusik77]

Сделал

[Techno]

- Удалите ComboFix

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Больше ничего необычного.

Что с проблемой?

[Rusik77]

При выполнении Combofix /Uninstall отвечает: "Windows не удалось найти Combofix".
Combofix на рабочем столе!? Не переименовывал его.
Его удалить вручную? Нужно ли удалять каталог Qoobox, созданный ComboFix?
Дальнейшие рекомендации, как я понял, нет смысла делать, пока этот шаг не выполнен?

Уведомление от МВАМ при входе на mail.ru так и всплывает.

[Techno]

Удаляйте так:

Скачайте OTCleanIt, запустите, нажмите Clean up

Удалите MBAM.

Кроме того, что ругается MBAM, еще проблемы остались?

В логах порядок.

[Rusik77]

MBAM выгрузил.
Скрипт с defendium.info от (AndreyKa) выполнил.
Уязвимости устранил.
Больше никаких странностей со стороны компьютера не наблюдаю.
Благодарен за помощь! Ура профессионалам!

[thyrex]

Смените все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены