![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Win32/Spy.Shiz.NCE |
|
|
[решено] Win32/Spy.Shiz.NCE
|
Новый участник Сообщения: 12 |
Возникли неполадки с интернетом,
браузер работает только IE, остальные либо не запускаются, либо не устанавливаются NOD обнаруживает угрозу в памяти, но очистить не может taskhost.exe(2864) AVZ логи в архиве http://rghost.ru/40024422 |
|
Отправлено: 05:28, 27-08-2012 |
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\apppatch\yqbtdrp.exe',''); QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys',''); DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\6C17angq.sys'); DeleteFile('C:\Windows\apppatch\yqbtdrp.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. - выполните такой скрипт Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
------- Отправлено: 09:13, 27-08-2012 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 12
|
Профиль | Отправить PM | Цитировать |
Отправлено: 18:08, 27-08-2012 | #3 |
Старожил Сообщения: 469
|
Повторите полное сканирование в MBAM и удалите только данные элементы:
Обнаруженные параметры в реестре: 1 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 혍鱻쥣ᮘ戃䩷櫪桕ﱏ⯘ᇄ걖峡䍺ꩽઈ廟䏍赨Ⲷ乳粏稀표馪ᐱ奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴ᜧ幼切藨난靜❽ﵜꟼ統﹫⸠覼�肁奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴潤ࣄ楕辬ཷ砏奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴奢鐣耮侴앿撚䤉歯 -> Действие не было предпринято. C:\Users\Илья\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. ---------------------------------------------------------------------------- Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT. Смените все пароли! |
Отправлено: 19:33, 27-08-2012 | #4 |
Новый участник Сообщения: 12
|
Профиль | Отправить PM | Цитировать |
|
Отправлено: 03:12, 28-08-2012 | #5 |
Старожил Сообщения: 469
|
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!
Выполните скрипт в AVZ (меню Файл\Выполнить скрипт): Procedure ScanDir(ADirName : string; AScanSubDir : boolean); var FS : TFileSearch; begin ADirName := NormalDir(ADirName); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*.*'); while FS.Found do begin SetStatusBarText(ADirName + FS.FileName); if FS.IsDir then begin if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then ScanDir(ADirName + FS.FileName, AScanSubDir) end else AddToLog(ADirName + FS.FileName + ' = ' + CalkFileMD5(ADirName + FS.FileName)); FS.FindNext; end; FS.Free; end; begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true, '', 0, 0); DeleteFileMask('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true); DeleteDirectory('C:\Users\Илья\AppData\Roaming\c5443a33'); ScanDir('C:\ProgramData\zFTP6UZ4090', true); SaveLog(GetAVZDirectory + 'MD5.txt'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec'); RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"'); AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Файл MD5.txt из папки с AVZ прикрепите к сообщению. Обновите Java SE. Повторите логи RSIT. |
Отправлено: 08:41, 28-08-2012 | #6 |
Новый участник Сообщения: 12
|
Профиль | Отправить PM | Цитировать up!
|
Отправлено: 06:29, 31-08-2012 | #7 |
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt |
------- Отправлено: 12:51, 31-08-2012 | #8 |
Новый участник Сообщения: 12
|
Профиль | Отправить PM | Цитировать |
Отправлено: 10:50, 02-09-2012 | #9 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Что с проблемой?
|
------- Отправлено: 11:49, 02-09-2012 | #10 |
|
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Win32/Shy.Shiz.NCE(explorer.exe(256)) | ParaDoX01010 | Лечение систем от вредоносных программ | 2 | 01-05-2012 18:44 | |
модифицированный Win32/Spy.Shiz.NCE | Vovik_0_1 | Лечение систем от вредоносных программ | 6 | 29-03-2012 12:45 | |
как избавиться от Win32/Spy.Shiz.NCE? | Wini | Лечение систем от вредоносных программ | 3 | 19-02-2012 22:06 | |
[решено] Win32/Spy.Shiz.NCE в Explorer.exe | Yar111 | Лечение систем от вредоносных программ | 3 | 13-02-2012 12:14 | |
[решено] Win32/Spy.Shiz.NCE и мб что-то еще.. | rpeHyu | Лечение систем от вредоносных программ | 2 | 21-01-2012 22:04 |
|