-
Junior Member
- Вес репутации
- 42
winlogon.exe заражен [Trojan-Spy.Win32.SpyEyes.agpa
]
При проверке NOD32 "Оперативная память = winlogon.exe(652) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна". Утилита Dr.Web CureIt! ничего не находит. Модифицированный файл появился после обновления Opera. При входе в Opera после этого NOD32 начал блокировать страницы. Очень надеюсь на помощь. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Alenka_X, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\sysproc.bin\C639636CCB2.exe','');
QuarantineFile('?.exe','');
QuarantineFileF('C:\sysproc.bin','*', true,'',0 ,0);
DeleteFileMask('C:\sysproc.bin', '*', true);
DeleteDirectory('C:\sysproc.bin',' ');
DeleteFile('C:\sysproc.bin\C639636CCB2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YY1X6IUX2A6J5YYCOQAUSOFE');
ExecuteRepair(3);
ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Профиксите в HijackThis
Код:
O4 - HKLM\..\Run: [System] ?
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
по окончанию лечения не забудьте сменить пароли !
-
-
Junior Member
- Вес репутации
- 42
-
Сообщение от
Alenka_X
Лог программы mbam-setup
если программу ещё не закрыли, то сразу удалите найденное.
-
-
Junior Member
- Вес репутации
- 42
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\User\Application Data\igfxtray.dat', 'MBAM: Malware.Trace');
QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace');
DeleteFile('C:\Documents and Settings\User\Application Data\igfxtray.dat');
DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте новый лог полного сканирования MBAM.
- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
что с проблемой ?
-
-
Junior Member
- Вес репутации
- 42
Троян удалился, NOD32 его больше не находит. Спасибо. Последний скрипт нужно выполнить, чтобы удалилось найденное в MBAM и карантине АВЗ?
-
Сообщение от
Alenka_X
Последний скрипт нужно выполнить, чтобы удалилось найденное в MBAM
да. это кусочек от вируса, а также сделайте контрольный новый лог MBAM. (карантин AVZ можете потом сами удалить).
+ не забудьте сменить пароли !
-
-
Junior Member
- Вес репутации
- 42
Вложение 385764
Сообщение от
regist
да. это кусочек от вируса, а также сделайте контрольный новый лог MBAM. (карантин AVZ можете потом сами удалить).
+ не забудьте сменить пароли !
-
В AVZ выполните скрипт:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantine;
QuarantineFile('C:\System Volume Information\_restore{0C498A93-4196-4BEB-869D-439059F4E0CA}\RP165\A0023953.exe','');
BC_ImportAll;;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Удалите найденное в mbam.
Paula rhei.
Поддержать проект можно тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\sysproc.bin\\c639636ccb2.exe - Trojan-Spy.Win32.SpyEyes.agpa ( DrWEB: Trojan.PWS.SpySweep.389 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-