Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Spy.Shiz..NCE , Заблокированы сайты антивирусов

1
RSS
 
necron205
necron205
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 27.01.2012
Размещено 18.02.2012 19:35:53
Здравствуйте. Прошу помощи в борьбе с вирусом, который блокирует доступ практически ко всем антивирусным сайтам.
Оперативная память » explorer.exe(732) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна.
Далее прикрепляю логи:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.02.2012 19:40:10
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\FREDO.SYS
addsgn A75537D85A6AA76142555794E82F0B702F8FF8F38DFB1F79D228CAB799A39814704128A33A5099482B816CCD3916498E08AB990224EB40555D1C5132B37652BB 8 newdriver
addsgn A7679BF0AA02C4130BC4C6C954C80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6BE0848F75C4C32EF4CA0CDD51CA3BE4AC965B2FC706AB7E 8 Spy.Shiz
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\MS0CFG32.EXE
bl DA05635E8012C6D0E9F6EBAF76BBA8C6 274432
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\MS0CFG32.EXE
deltmp
delnfr
regt 12
sreg
delref %SystemRoot%\FREDO.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
necron205
necron205
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 27.01.2012
Размещено 18.02.2012 19:57:31
Сделал все точно по Вашим указаниям. После выполнения скрипта нод перестал ругаться на вирус. На сайты антивирусов заходит свободно. Архив отправил по указанным Вами адресам. Быструю проверку мбам провел. Нашел несколько вредоносных программ.
Лог:
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.02.2012 23:54:43
Оставить только вот это

Код
Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> 
Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> 
Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> 
Плохо: (1) Хорошо: (0) -> Действие не было предпринято.


Остальное удалить и выполнить вот это
http://forum.esetnod32.ru/forum9/topic3998/

Тема закрыта.
 
1
Читают тему