Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Троянская программа очистка невозможна

1
RSS
 
haru87
haru87
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.03.2012
Размещено 28.03.2012 20:56:12
Зравствуйте! Помогите пожалуйста.
Обнаружены две угрозы:
28.03.2012 20:52:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(964) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна IMANGO\Владимир;
28.03.2012 18:43:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(672) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна IMANGO\Владимир.

Образ автозапуска прикреплен.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.03.2012 21:04:31
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
Код
 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\SYSTEMHOST\24FC2AE3F33.EXE
delall %SystemRoot%\TEMP\23894729347.EXE
delall %SystemRoot%\TEMP\____991.EXE
delall H:\AUTORUN.EXE
regt 5
regt 12
deltmp
delnfr
czoo
restart


Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
Изменено: RP55 RP55 - 28.03.2012 21:05:04
 
haru87
haru87
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.03.2012
Размещено 28.03.2012 21:36:01
Все сделал. Вот отчет. Найденные Malwarebytes объекты удалять?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.03.2012 21:37:16
Удалить все кроме этого:
Цитата
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify
Перезагрузиться и повторить лог Мбам
Правильно заданный вопрос - это уже половина ответа
 
haru87
haru87
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.03.2012
Размещено 28.03.2012 21:49:41
Повторил лог Мбам. Вот отчет. Остался только HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify. Так и оставить?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.03.2012 21:53:59
Да, оставить. Если проблема решена - Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
haru87
haru87
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.03.2012
Размещено 28.03.2012 22:39:01
Большое спасибо за помощь!
 
1
Читают тему