Вирус Win32/Spy.Shiz.NCF в оперативной памяти - Форум технической поддержки ESET NOD32

Сообщений: 13

Баллов: 6

Регистрация: 24.11.2011

Размещено 31.08.2012 08:28:56

Добрый день, нод выдаёт сообщение о вирусе в оперативной памяти, прошу помощи в исцелении)) Лог вложен (буду признателен также, если вы кинете какой-нибудь источник, чтобы самому научиться распозновать вирусы на основе логов программы uvs)

Заранее благодарю за помощь)

Прикрепленные файлы

ADMIN02_2012-08-31_11-21-01.7z (171.02 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.08.2012 08:39:10

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\0.05946775704801477.EXE addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831 zoo %SystemRoot%\APPPATCH\UEOANQ.EXE delall %SystemRoot%\APPPATCH\UEOANQ.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\0.05946775704801477.EXE
addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831
zoo %SystemRoot%\APPPATCH\UEOANQ.EXE
delall %SystemRoot%\APPPATCH\UEOANQ.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

----------
три источника, три составные части документации по uVS
1. папка DOC внутри каталога uVS
2. форум поддержки uVS
http://www.anti-malware.ru/forum/index.php?showforum=63
3. как начать практически использовать uVS
http://chklst.ru/forum/discussion/38/kak-nachat-prakticheski-ispolzovat-universal-virus-sniffer

еще вопрос:
прокси сами прописывали?

Цитата
Полное имя 192.168.45.254:3128 Имя файла 192.168.45.254:3128 Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKLM\enxqymjst\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\S-1-5-21-440558279-2628186848-4181720909-1106\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128

Цитата

Полное имя 192.168.45.254:3128
Имя файла 192.168.45.254:3128
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\enxqymjst\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\S-1-5-21-440558279-2628186848-4181720909-1106\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 24.11.2011

Размещено 31.08.2012 09:03:38

Архив выслал, сделал сканирование в малваребайт, лог вложен, он там мне что-то пометил как жучков.

Сообщение нод больше не выдаёт, да, прокси прописывал сам.

Большое спасибо за помощь и отдельно за источники про uvs )

Прикрепленные файлы

mbam-log-2012-08-31 (12-01-23).txt (3.29 КБ)

Изменено: Verd - 31.08.2012 09:05:48

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.08.2012 09:55:00

удалите в мбам все найденное кроме

Цитата
Объекты реестра обнаружены: 3 HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 24.11.2011

Размещено 31.08.2012 10:28:39

Спасибо) рекомендации выполняю)

[ Закрыто ] Вирус Win32/Spy.Shiz.NCF в оперативной памяти