Оперативная память » explorer.exe(1932) модифицированный Win32/Spy.Shiz.NCE троянская программа. очистка невозможна

Сообщений: 11

Баллов: 5

Регистрация: 21.02.2012

Размещено 21.02.2012 14:51:15

Добрый день уважаемые пользователи форума. В просторах интернета наткнулся на вирус, который внедрился в процесс explorer.exe. При проверки компьютера вышло вот что:

Цитата
Оперативная память » explorer.exe(1932) модифицированный Win32/Spy.Shiz.NCE троянская программа. очистка невозможна

Ссылка на образ: http://rghost.ru/36632062

Изменено: aleks63 - 21.02.2012 14:52:58

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 14:56:41

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/7227 zoo %SystemRoot%\APPPATCH\GPNUUVS.EXE delall %SystemRoot%\APPPATCH\GPNUUVS.EXE regt 12 czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7227
zoo %SystemRoot%\APPPATCH\GPNUUVS.EXE
delall %SystemRoot%\APPPATCH\GPNUUVS.EXE
regt 12
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 11

Баллов: 5

Регистрация: 21.02.2012

Размещено 21.02.2012 15:24:38

Ммм, спасибо, всё сработало

По поводу лога, то вот:
Ссылка: http://rghost.ru/36632601
Текст:

Код
Malwarebytes Anti-Malware (Пробная версия) 1.60.1.1000 www.malwarebytes.org Версия базы данных: v2012.02.21.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Александр :: MICROSOF-052138 [администратор] Защитный модуль : Отключен 21.02.2012 15:17:25 mbam-log-2012-02-21 (15-22-05).txt Тип сканирования: Быстрое сканирование Опции сканирования включены: Память \| Запуск \| Реестр \| Файловая система \| Эвристика/Дополнительно \| Эвристика/Шурикен \| PUP \| PUM Опции сканирования отключены: P2P Просканированные объекты: 203540 Времени прошло: 3 минут , 44 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 0 (Вредоносных программ не обнаружено) (конец)

Код

Malwarebytes Anti-Malware (Пробная версия) 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.21.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Александр :: MICROSOF-052138 [администратор]

Защитный модуль : Отключен 

21.02.2012 15:17:25
mbam-log-2012-02-21 (15-22-05).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  203540
Времени прошло:  3 минут , 44 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено) 

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  0
(Вредоносных программ не обнаружено) 

(конец)

Изменено: aleks63 - 21.02.2012 15:27:09

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 15:26:58

Чисто. Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Сообщений: 11

Баллов: 5

Регистрация: 21.02.2012

Размещено 21.02.2012 15:27:50

Спасибо вам большое, помогли.