В работе - Помогите! - winlogon.exe(692) - модифицированный Win32/Spy.SpyEye.CA

Nexaker · 27 апр 2012

Антивирус показывает что: Оперативная память = winlogon.exe(692) - модифицированный Win32/Spy.SpyEye.CA троянская программа
Помогите плииз!
Лог от uVS http://zalil.ru/33143286
Лог от HiJackThis http://zalil.ru/33143332
Лог от AVZ http://zalil.ru/33143335

Angel-iz-Ada · 27 апр 2012

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код:
;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
delref HTTP://192.168.1.2/INDEX.PHP
delref HTTP://192.168.1.23/PLASTIK/
delref HTTP://192.168.1.23/PLASTIK/|HTTP://192.168.1.23/OLIVKA/|HTTP://192.168.1.2/INDEX.PHP|HTTP://192.168.1.2/ADMIN.PHP?MOD=MAIN
restart
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Если форум оказался полезен вам, пожалуйста, поддержите его работу -

Nexaker · 30 апр 2012

Лог Mbam - http://zalil.ru/33157695

oleg · 30 апр 2012

Nexaker, Удалите в MBAM следующие строки:

Обнаруженные ключи в реестре:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

Обнаруженные параметры в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

Обнаруженные папки:
C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Downloads\Программы\mpr_portable\block_reader.sys (Trojan.LdPinch) -> Действие не было предпринято.
C:\Recycle.Bin\5DA5F37BCD78650 (Trojan.Spyeyes) -> Действие не было предпринято.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -

Войти или зарегистрироваться

В работе - Помогите! - winlogon.exe(692) - модифицированный Win32/Spy.SpyEye.CA

Nexaker Newbie

Angel-iz-Ada Вирусоборец

Nexaker Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

В работе - Помогите! - winlogon.exe(692) - модифицированный Win32/Spy.SpyEye.CA

Nexaker Newbie

Angel-iz-Ada Вирусоборец

Nexaker Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск