Решена - вирус Win32/Spy.SpyEye.CA модифицированный, winlogon.exe. как избавиться?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем sandro95, 27 дек 2012.

  1. sandro95

    sandro95 Junior User

    Win32/Spy.SpyEye.CA модифицированный .
    Нод все время говорит о winlogon.exe(804) и winlogon.exe(804) в операционной памяти. Программы работают не так как надо- не сохраняют нормально.
    Помогите!!!

    uVS http://zalil.ru/34117821
    HijackThis http://zalil.ru/34117827
    AVZhttp://zalil.ru/34118149
     
    Последнее редактирование модератором: 28 дек 2012
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemRoot%\TEMP\GP34JET9.EXE
    bl 420B3B4B43EFC1A7D16214BCAE814848 102400
    delall %SystemRoot%\TEMP\GP34JET9.EXE
    delref HTTP://MAILRUSEARCHGO.RU
    delref HTTP://SEARCH.QIP.RU
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    delall %Sys32%\CSRCS.EXE
    zoo %SystemDrive%\RECYCLE.BIN\B6232F3AA4F.EXE
    bl BB9E4ECAB9C700B848A1333CA1E2F266 140800
    delall %SystemDrive%\RECYCLE.BIN\B6232F3AA4F.EXE
    exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
    exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
    exec C:\PROGRAM FILES\SEARCHQU TOOLBAR\UNINSTALL.EXE
    exec "C:\PROGRAM FILES\VKMUSIC 4\UNINS000.EXE"
    exec C:\PROGRAM FILES\MYBER\UNINSTALL.EXE
    exec MSIEXEC.EXE /I{11EA1C75-DB0D-410B-B63B-20916EECD568}
    regt 3
    regt 12
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  3. sandro95

    sandro95 Junior User

    zloyDi, спасибо, та проблема вроде бы устранена ( тьфу-тьфу-тьфу). Zoo отправил.
    Компьютер сканируется, и лог выложу позже.

    На компьютере есть еще одна проблема:
    при заходе на вк вылазят в новых вкладках сайты popstart.ru, testportal.ru и т.п.
    Кроме того, на других сайтах вылазит реклама типа системы WebMark 2
     
    Последнее редактирование: 27 дек 2012
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Выполните пока лог программы MBAM, а потом уберем остальное.
     
  5. sandro95

    sandro95 Junior User

  6. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Оставить только следующие записи!

    Остальное удалить! ПК перезагрузить и сообщить какие проблемы еще остались.
     
  7. sandro95

    sandro95 Junior User

    Осталась вылазящяя реклама и открывающиеся посторонние сайты
     
  8. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Выполните еще раз логи, глянем...
     
  9. sandro95

    sandro95 Junior User

  10. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    setdns Подключение по локальной сети\4\{CA2D84F5-389E-408A-876F-0581B684753F}\
    exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
    exec MSIEXEC.EXE /I{11EA1C75-DB0D-410B-B63B-20916EECD568}
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    Сообщить о результате.
     
  11. sandro95

    sandro95 Junior User

    Спасибо большое)
    Кроме того еще и обновление Nod заработало
     
  12. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.
     
  13. sandro95

    sandro95 Junior User

    Поиск критических уязвимостей
    Уязвимость службы сервера делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=5403c78c-6b87-4788-89c3-0140b887ec6f

    Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=CCB08A8A-F4D9-4320-8FFB-3FD4FE217987

    Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=7ab53be3-3f42-4e61-a2bc-3ed41d8736ff

    Накопительное обновление безопасности для браузера Internet Explorer
    http://www.microsoft.com/downloads/...FamilyID=d1881d12-2a40-4cb1-9428-31d6633746be



    Уязвимость в Центре справки и поддержки Windows
    http://www.microsoft.com/downloads/...FamilyID=7C2122BB-0ECF-4467-A3BA-6FB862F603C5

    Уязвимость обработки графики в оболочке Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=BBEA7EAD-6C5C-4DA8-AA03-A40325FD2DE3

    Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=93FABA6B-0A85-4ACC-B527-A012BBF56B13

    Обновление функции автозапуска в Windows
    http://www.microsoft.com/downloads/...FamilyID=96ca61f6-8b16-4157-9635-8cfc0bbf4c35

    Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=8d341077-8fcd-4666-a27e-2141a04a321e

    Уязвимости в ядре Windows могут привести к несанкционированному получению прав
    http://www.microsoft.com/downloads/...FamilyID=A511D33A-9AE0-46EE-A225-9D97390DE7D1

    Уязвимости в Windows Media делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=a142f7ba-4268-4453-a8eb-470213c028ac

    Несанкционированные цифровые сертификаты делают возможным подмену содержимого
    http://www.microsoft.com/ru-ru/download/details.aspx?id=29975 (требуется лицензионный Windows) или
    http://download.microsoft.com/downl...-2A4CD98224C4/WindowsXP-KB2718704-x86-RUS.exe

    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=017f1ed7-eed4-4de3-aca1-93fb25058866

    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=c34c2511-84d4-4f7e-b61a-086e6ee26ffa

    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/...FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097

    Уязвимости в Adobe Flash Player для Internet Explorer
    http://download.macromedia.com/get/...sing/win/install_flash_player_11_active_x.exe

    Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
    http://download.macromedia.com/get/...ensing/win/install_flash_player_11_plugin.exe

    Установлен Adobe Reader версии 9.1.0. Опасно использовать версии до 9.5
    Установите Adobe Reader XI (11.0) или удалите старый.
    http://get.adobe.com/reader/otherversions/

    Множественные уязвимости в Sun Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual.jsp

    Opera 12.02 устарела. Удалите её или установите новую
    http://www.opera.com/browser/download

    Обнаружено уязвимостей: 20

    Все выполнять?
     
  14. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Да установить нужно все. В конце обновить базы антивируса и выполнить полный скан ПК.
     
  15. sandro95

    sandro95 Junior User

  16. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Если проблемы нет, тогда на этом все.
     
  17. sandro95

    sandro95 Junior User

    Спасибо огромное
     

Поделиться этой страницей