Форум esetnod32.ru [тема: Win32/Spy.SpyEye.CA] http://forum.esetnod32.ru Новое в теме Win32/Spy.SpyEye.CA форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 08:28:00 +0300 Win32/Spy.SpyEye.CA Win32/Spy.SpyEye.CA троянская программа очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
связано.


====quote====
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:

Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык
=============

по логу мбам,
удалите следующие объекты

====quote====
Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F2EXHZG2ZBMX (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE39D4.exe -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

=============
далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
23.01.2013 17:38:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8485/message61778/ http://forum.esetnod32.ru/messages/forum6/topic8485/message61778/ Wed, 23 Jan 2013 17:38:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.SpyEye.CA Win32/Spy.SpyEye.CA троянская программа очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Архив отправлен. Лог прилагаю. Еще 1 вопрос, пожалуйста:
По мимо сообщения о вирусе  Win32/Spy.SpyEye.CA нод показывал окна о заблокированных страницах (ссылках), связано ли это с вирусом Spy или это нечто иное?
Благодарю.
mbam-log-2013-01-23 (16-44-07).txt
23.01.2013 16:57:40, Darksoul.]]> http://forum.esetnod32.ru/messages/forum6/topic8485/message61776/ http://forum.esetnod32.ru/messages/forum6/topic8485/message61776/ Wed, 23 Jan 2013 16:57:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.SpyEye.CA Win32/Spy.SpyEye.CA троянская программа очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

====code==== 
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\SYSTEMHOST\24FC2AE39D4.EXE
; C:\SYSTEMHOST\24FC2AE39D4.EXE
bl FD3D9ADBA5B8B82610EFE57AA02A470C 323584
delall %SystemDrive%\SYSTEMHOST\24FC2AE39D4.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
regt 3
regt 18
deltmp
delnfr
restart
============= И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
23.01.2013 16:30:06, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic8485/message61774/ http://forum.esetnod32.ru/messages/forum6/topic8485/message61774/ Wed, 23 Jan 2013 16:30:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.SpyEye.CA Win32/Spy.SpyEye.CA троянская программа очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте,
антивирус Eset Nod32 обнаружил вирус, текст из журнала:
"Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(612) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна."
Прошу помощи в устранении проблемы.
NACHOK_2013-01-23_16-17-32.7z
23.01.2013 16:25:08, Darksoul.]]> http://forum.esetnod32.ru/messages/forum6/topic8485/message61773/ http://forum.esetnod32.ru/messages/forum6/topic8485/message61773/ Wed, 23 Jan 2013 16:25:08 +0400 Обнаружение вредоносного кода и ложные срабатывания