Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Win32/Spy.Shiz.NCE dwm.exe(2216) (http://forum.oszone.net/showthread.php?t=241617)

azz_tec@vk 29-08-2012 17:51 1979354

Win32/Spy.Shiz.NCE dwm.exe(2216)
 
Заметил странное поведения интернета, как будто - что то заполняет, итак тонкий канал.
Случилось это - в ночь с 28го по 29е. Откуда цапнул - не понимаю, ничего не качал, по весёлым сайтам не шастал, в следствии обрезанного интернета (кончился трафик).
Логи прилагаю.
info.txt
log.txt
virusinfo_syscheck.zip
virusinfo_syscure.zip

iskander-k 29-08-2012 18:56 1979391

Выложите логи в соответствии с этими инструкциями.
Скачайте свежую версию АВЗ и переделайте логи.

azz_tec@vk 29-08-2012 23:04 1979533

Благодарю за поправку.
По вышей ссылке: АВЗ предложен 37, я скачал 39. т.к. сайт Олега у меня не открывается, пришлось тянуть с Софтпортала.
То же самое с обновлениями, с сайта Олега они не тянутся. Спас альтернативный сервер(прописан в АВЗ).
Обновленные логи - по тем же ссылкам в шапке.

Ещё такую штуку заметил. Физический и виртуальные ж.д. потеряли первую букву лейбла. Вместо "Новый том", физический диск и диски Apache называются "овый том".

thyrex 30-08-2012 01:07 1979571

Цитата:

Цитата azz_tec@vk
По вышей ссылке: АВЗ предложен 37 »

Просто забыли поправить номер версии :)

Выполните скрипт в AVZ
Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\AppPatch\mdkyvb.exe','');
 DeleteFile('C:\Windows\AppPatch\mdkyvb.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксите в HiJack (что останется из предложенного)
Код:

F3 - REG:win.ini: load=C:\Windows\AppPatch\mdkyvb.exe
F3 - REG:win.ini: run=C:\Windows\AppPatch\mdkyvb.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\mdkyvb.exe,
O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [userinit] C:\Windows\AppPatch\mdkyvb.exe

Удалите вручную C:\Users\Azik\AppData\Roaming\44883406

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

azz_tec@vk 30-08-2012 02:44 1979585

2@thyrex
Всё сделал.
* Файл карантина отправил.
* Новые логи, доступны по прежним ссылкам, в шапке.
При проверке Хайджеком, насканило только:
Код:

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Это пофиксил. Повторная проверка - соответствий не выявила.

akok 30-08-2012 12:48 1979806

Цитата:

Цитата thyrex
Сделайте новые логи »

Нужно для проверки.

iskander-k 30-08-2012 13:17 1979831

Цитата:

Цитата azz_tec@vk
АВЗ предложен 37, я скачал 39. »

поправлено

Цитата:

Цитата azz_tec@vk
пришлось тянуть с Софтпортала. »

В моей подписи по ссылке Зеркало можно было скачать с депозита...

+

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

azz_tec@vk 30-08-2012 17:22 1979998

2@Akik:
Я обновлял файлы по старым ссылкам есличо.

2@Iskander-k
Результаты полного сканирования MBAM.

akok 30-08-2012 17:40 1980010

MPR сами устанавливали?

Повторите сканирование MBAM и удалите только следующие строки:
Код:

Обнаруженные ключи в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
Обнаруженные файлы: 
C:\$Recycle.Bin\S-1-5-21-1277310259-2144098570-1176959628-1000\$R6PZZW7.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Azik\AppData\Local\Temp\CyvBcb1E.exe.part (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Azik\AppData\Local\Thinstall\Cache\Stubs\dbb6d1566997629af094d3c355b417a1f7ca6ca9\VideoAvatar.exe (Trojan.Backdoor) -> Действие не было предпринято.

Цитата:

Цитата thyrex
Сделайте новые логи »

Будете готовить или нет? Это важно.

azz_tec@vk 30-08-2012 18:06 1980028

2@Akok:
Поясню на пальцах:
* У меня есть свой хостинг.
* Я создал там папку LOG.
* Я заливаю туда логи.
* При создании новых логов, я удаляю старые, и заливаю на их место новые.
* На этот раз - старые я переместил в папку "old"
http://caramelca.kz/temp/log/old/info.txt и так далее

А последние, лежат здесь с полпятого утра:
http://caramelca.kz/temp/log/info.txt
http://caramelca.kz/temp/log/log.txt
http://caramelca.kz/temp/log/virusinfo_syscheck.zip
http://caramelca.kz/temp/log/virusinfo_syscure.zip

azz_tec@vk 30-08-2012 18:27 1980034

p.s. кстати да, мпр ставил сам. Также как и KBrdHook.
p.p.s сейчас идёт очередное полное сканирование mbam.

azz_tec@vk 30-08-2012 19:32 1980075

Удалил что сказали. дальше что?
После удаления открылся лог, я его сюда выложу на всякий случай:
www.caramelca.kz/temp/log/mbam-log-2012-08-30 (20-04-18).txt

akok 30-08-2012 19:34 1980076

Цитата:

Цитата azz_tec@vk
А последние, лежат здесь с полпятого утра: »

Вот и разобрались.
Подготовьте лог SecurityCheck by screen317

Какие проблемы сейчас наблюдаются?

azz_tec@vk 30-08-2012 20:09 1980092

Цитата:

Results of screen317's Security Check version 0.99.49
Windows 7 x86 (UAC is disabled!)
Out of date service pack!!
Internet Explorer 8 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
ESET Smart Security 4.2
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.62.0.1300
CCleaner
Java(TM) 6 Update 29
Java(TM) 6 Update 22
Java(TM) 6 Update 7
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 11.2.202.235
Mozilla Firefox (14.0.1)
Google Chrome 15.0.874.120
Google Chrome 15.0.874.121
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
Malwarebytes Anti-Malware mbamservice.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
Проблема была одна - забитый канал итак придушенного шейпером интернета. Ну и нод постоянно детектировал сабж.
Сейчас нод молчит, дышать стало легче ) спасибо вам.

iskander-k 31-08-2012 00:51 1980222

Обновите
Internet Explorer
JAVA Java

azz_tec@vk 31-08-2012 02:42 1980241

и всё?

akok 31-08-2012 14:50 1980553

Рекомендации после удаления вредоносного ПО


Время: 12:35.

Время: 12:35.
© OSzone.net 2001-