Оперативная память » taskhost.exe(1356) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Сообщений: 4

Баллов: 2

Регистрация: 24.03.2012

Размещено 24.03.2012 11:21:53

Добрый день.
ESET NOD32 Antivirus 4 постоянно выдает такое сообщение "Оперативная память » taskhost.exe - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна ". Также всплывает собщение "Адрес заблокирован. Доступ URL запрещен и т.д." (адрес все время один и тотже).

Прикрепленные файлы

FARTEENN-PC_2012-03-24_17-47-37.7z (233.33 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 24.03.2012 11:34:04

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 24.03.2012

Размещено 24.03.2012 11:49:24

Пожалуйста.

Прикрепленные файлы

Лог обнаружения угроз.txt (669 Б)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 24.03.2012 11:53:44

Цитата
24.03.2012 18:31:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » taskhost.exe(1564) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна Farteenn-PC\Farteenn

ок, сделайте еще образ автозапуска в безопасном режиме

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 24.03.2012

Размещено 24.03.2012 12:03:06

Образ готов.

Прикрепленные файлы

FARTEENN-PC_2012-03-24_18-58-00.7z (205.5 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 24.03.2012 12:14:55

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BF0AA0250264BD4C6C154881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCA3D9FE82BD6D7B00C6B775BACCA020235 8 SpyEye zoo %SystemDrive%\G4FWEQ23.BI\40842F384B7.EXE bl BAA5073536724B6F7D006BB4070B521E 207360 delall %SystemDrive%\G4FWEQ23.BI\40842F384B7.EXE delref HTTP://WWW.YAHOO.COM deltmp delnfr regt 5 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679BF0AA0250264BD4C6C154881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCA3D9FE82BD6D7B00C6B775BACCA020235 8 SpyEye

zoo %SystemDrive%\G4FWEQ23.BI\40842F384B7.EXE
bl BAA5073536724B6F7D006BB4070B521E 207360
delall %SystemDrive%\G4FWEQ23.BI\40842F384B7.EXE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 24.03.2012

Размещено 24.03.2012 12:35:44

Проблема пропала.После сканирования NOD32 и malwarebytes угроз не обнаружено.
Спасибо большое за быстрый и грамотный подход!

P.S. Тему можно удалять.

Прикрепленные файлы

mbam-log-2012-03-24 (19-26-19).txt (2.1 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 24.03.2012 12:42:42

хорошо, удалять мы ее не будем, просто закроем.
------
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 24.03.2012 12:43:32

[ Как создать образ автозапуска? ]

[ Закрыто ] Оперативная память » taskhost.exe(1356) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна