Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Win32/Spy.Shiz.NCE

Ответить
Настройки темы
[решено] Win32/Spy.Shiz.NCE

Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать


Возникли неполадки с интернетом,
браузер работает только IE, остальные либо не запускаются, либо не устанавливаются
NOD обнаруживает угрозу в памяти, но очистить не может
taskhost.exe(2864)
AVZ логи в архиве http://rghost.ru/40024422

Отправлено: 05:28, 27-08-2012

 

Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\apppatch\yqbtdrp.exe','');
 QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys','');
 DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys');
 DeleteFile('C:\Windows\apppatch\yqbtdrp.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

-------
Лечение через PM не провожу.

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:13, 27-08-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать


Лог MBAM

Отправлено: 18:08, 27-08-2012 | #3

S.R S.R вне форума

Старожил


Сообщения: 469
Благодарности: 79

Профиль | Цитировать


Повторите полное сканирование в MBAM и удалите только данные элементы:
Код: Выделить весь код
Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 혍鱻쥣ᮘ戃䩷櫪桕ﱏ⯘ᇄ걖峡䍺ꩽઈ廟䏍赨Ⲷ乳粏稀표馪ᐱ奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴ᜧ幼切藨난靜❽ﵜꟼ統﹫⸠覼�肁奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴潤ࣄ楕辬ཷ΂砏൉奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴앿撚䤉歯 -> Действие не было предпринято.

C:\Users\Илья\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Кряки и кейгены на ваше усмотрение.
----------------------------------------------------------------------------

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
Смените все пароли!
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:33, 27-08-2012 | #4


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать


AVZ
RSIT info
RSIT log

Отправлено: 03:12, 28-08-2012 | #5

S.R S.R вне форума

Старожил


Сообщения: 469
Благодарности: 79

Профиль | Цитировать


На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Код: Выделить весь код
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
 ADirName := NormalDir(ADirName);
 FS := TFileSearch.Create(nil);
 FS.FindFirst(ADirName + '*.*');
 while FS.Found do
  begin
    SetStatusBarText(ADirName + FS.FileName);
    if FS.IsDir then
     begin
       if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then 
         ScanDir(ADirName + FS.FileName, AScanSubDir)
     end
    else
      AddToLog(ADirName + FS.FileName + ' = ' + CalkFileMD5(ADirName + FS.FileName));
    FS.FindNext;
  end;
 FS.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true, '', 0, 0);
 DeleteFileMask('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true);
 DeleteDirectory('C:\Users\Илья\AppData\Roaming\c5443a33');
 ScanDir('C:\ProgramData\zFTP6UZ4090', true); 
 SaveLog(GetAVZDirectory + 'MD5.txt');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Файл MD5.txt из папки с AVZ прикрепите к сообщению.
Обновите Java SE.
Повторите логи RSIT.
Это сообщение посчитали полезным следующие участники:

Отправлено: 08:41, 28-08-2012 | #6


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt MD5.txt
(2.4 Kb, 8 просмотров)
Тип файла: txt log.txt
(41.4 Kb, 5 просмотров)

up!

Отправлено: 06:29, 31-08-2012 | #7


Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания хелпера ничего не не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

-------
Лечение через PM не провожу.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:51, 31-08-2012 | #8


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всем спасибо!

Отправлено: 10:50, 02-09-2012 | #9


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Что с проблемой?

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 11:49, 02-09-2012 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Win32/Spy.Shiz.NCE

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Win32/Shy.Shiz.NCE(explorer.exe(256)) ParaDoX01010 Лечение систем от вредоносных программ 2 01-05-2012 18:44
модифицированный Win32/Spy.Shiz.NCE Vovik_0_1 Лечение систем от вредоносных программ 6 29-03-2012 12:45
как избавиться от Win32/Spy.Shiz.NCE? Wini Лечение систем от вредоносных программ 3 19-02-2012 22:06
[решено] Win32/Spy.Shiz.NCE в Explorer.exe Yar111 Лечение систем от вредоносных программ 3 13-02-2012 12:14
[решено] Win32/Spy.Shiz.NCE и мб что-то еще.. rpeHyu Лечение систем от вредоносных программ 2 21-01-2012 22:04




 
Переход