Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Win32/Spy.Shiz.NCE (http://forum.oszone.net/showthread.php?t=241413)

loo_pm 27-08-2012 05:28 1977532

Win32/Spy.Shiz.NCE
 
Возникли неполадки с интернетом,
браузер работает только IE, остальные либо не запускаются, либо не устанавливаются
NOD обнаруживает угрозу в памяти, но очистить не может
taskhost.exe(2864)
AVZ логи в архиве http://rghost.ru/40024422

alex_sev 27-08-2012 09:13 1977586

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\apppatch\yqbtdrp.exe','');
 QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys','');
 DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys');
 DeleteFile('C:\Windows\apppatch\yqbtdrp.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

loo_pm 27-08-2012 18:08 1977937

Лог MBAM

S.R 27-08-2012 19:33 1977986

Повторите полное сканирование в MBAM и удалите только данные элементы:
Код:

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 혍鱻쥣ᮘ戃䩷櫪桕ﱏ⯘ᇄ걖峡䍺ꩽઈ廟䏍赨Ⲷ乳粏稀표馪ᐱ奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴ᜧ幼切藨난靜❽ﵜꟼ統﹫⸠覼�肁奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴潤ࣄ楕辬ཷ΂砏൉奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴앿撚䤉歯 -> Действие не было предпринято.

C:\Users\Илья\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Кряки и кейгены на ваше усмотрение.
----------------------------------------------------------------------------

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
Смените все пароли!

loo_pm 28-08-2012 03:12 1978261

AVZ
RSIT info
RSIT log

S.R 28-08-2012 08:41 1978325

На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Код:

Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
 ADirName := NormalDir(ADirName);
 FS := TFileSearch.Create(nil);
 FS.FindFirst(ADirName + '*.*');
 while FS.Found do
  begin
    SetStatusBarText(ADirName + FS.FileName);
    if FS.IsDir then
    begin
      if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
        ScanDir(ADirName + FS.FileName, AScanSubDir)
    end
    else
      AddToLog(ADirName + FS.FileName + ' = ' + CalkFileMD5(ADirName + FS.FileName));
    FS.FindNext;
  end;
 FS.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true, '', 0, 0);
 DeleteFileMask('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true);
 DeleteDirectory('C:\Users\Илья\AppData\Roaming\c5443a33');
 ScanDir('C:\ProgramData\zFTP6UZ4090', true);
 SaveLog(GetAVZDirectory + 'MD5.txt');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Файл MD5.txt из папки с AVZ прикрепите к сообщению.
Обновите Java SE.
Повторите логи RSIT.

loo_pm 31-08-2012 06:29 1980273

Вложений: 2
up!

alex_sev 31-08-2012 12:51 1980455

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания хелпера ничего не не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

loo_pm 02-09-2012 10:50 1981454

Всем спасибо!

thyrex 02-09-2012 11:49 1981483

Что с проблемой?

loo_pm 04-09-2012 11:45 1982718

решена

SolarSpark 04-09-2012 12:16 1982732

Выполните рекомендации после лечения


Время: 16:03.

Время: 16:03.
© OSzone.net 2001-