Помогите избавится от вируса: Win32/Spy.Shiz.NCE (explorer 1010) [Backdoor.Win32.Shiz.fufc ]

**Дмитрий Романов** · 29.08.2012, 19:11

Здравствуйте уважаемые.
Проблема такая: в оперативной памяти антивирусом ESET был обнаружен троян:
-Win32/Spy.Shiz.NCE (explorer 1010) попробывал все что указано в инструкции на вашем сайте, не помогло.
Изначально видео запущенное Mplayer - ом выдавало ошибку: "память не может быть Read" позже добавилось ухудшение быстродействия в системе.
Логи приложил.
Надеюсь на вашу помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.08.2012, 19:12

Уважаемый(ая) Дмитрий Романов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 29.08.2012, 23:38

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\apppatch\cuwnov.exe','');
 DeleteFile('C:\WINDOWS\apppatch\cuwnov.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system','');
ExecuteREpair(10); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Дмитрий Романов** · 30.08.2012, 15:59

Спасибо за вашу помощь и ваш труд уважаемый.
Все работает нормально.
Логи высылаю.

**thyrex** · 30.08.2012, 20:00

Смените все пароли

**Дмитрий Романов** · 30.08.2012, 20:24

К сожалению после перезагрузки вирус появился снова.
Если не сложно помогите еще раз.
Высылаю новые логи.
Не могли бы вы уточнить какие пароли сменить?

**thyrex** · 31.08.2012, 19:46

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\apppatch\nuthtef.exe','');
 DeleteFile('C:\WINDOWS\apppatch\nuthtef.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system','');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Очистите кэш браузеров, кэш Java

Сделайте новые логи

**Дмитрий Романов** · 31.08.2012, 22:25

Новые логи.
Вирус удалился спасибо, кэш как умел почистил.
Страшно перезагрузится.

**миднайт** · 01.09.2012, 00:22

HijackThis лог новый сделайте и прикрепите.

**Дмитрий Романов** · 01.09.2012, 07:24

Видимо перепутал.
Вот свежий лог.
После перезагрузки вируса не видно.

**Techno** · 01.09.2012, 12:52

- Пофиксите в HijackThis:

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

Установите новый Internet Explorer, а также все доступные обновления для Windows

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**CyberHelper** · 01.09.2012, 13:02

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\apppatch\\cuwnov.exe - Backdoor.Win32.Shiz.ftrg ( DrWEB: Trojan.PWS.Ibank.456, BitDefender: Gen:Variant.Kazy.89854 )
2. c:\\windows\\apppatch\\cuwnov.exe - Backdoor.Win32.Shiz.ftrh ( DrWEB: Trojan.PWS.Ibank.456, BitDefender: Gen:Variant.Kazy.89854 )
3. c:\\windows\\apppatch\\nuthtef.exe - Backdoor.Win32.Shiz.fufc ( BitDefender: Gen:Variant.Kazy.89936 )

Помогите избавится от вируса: Win32/Spy.Shiz.NCE (explorer 1010) [Backdoor.Win32.Shiz.fufc ] (заявка № 124084)

Опции темы

Помогите избавится от вируса: Win32/Spy.Shiz.NCE (explorer 1010) [Backdoor.Win32.Shiz.fufc ]

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Итог лечения

Похожие темы

Помогите explorer.exe (1648) Win32/Spy.Shiz.NCE

Помогите избавиться от вируса Win32/Spy.Shiz.NCE

explorer.exe(1736) - модифицированный Win32/Spy.Shiz.NCE - Помогите удалить!((

помогите explorer.exe(984) - модифицированный Win32/Spy.Shiz.NCE троянская программа

Помогите избавится от вируса win32 injector.afz!

Метки для этой темы

Ваши права в разделе