Незванный гость. Win32/Spy.Shiz.NBW

win32/spy.shiz.nbw

Троян win32/spy.shiz.nbw

Вчера комп начал жутко тормозить, а винчестер засвопил так что казалось выскочит из системника…

Я призадумался было, но антивирус ESET NOD32 лишил меня возможности потренировать мозги и радостно указал на наличие вируса win32/spy.shiz.nbw в оперативной памяти. При этом «горестно охнув» добавил — убить своими силами не может…

Проверил базы, всё свежак. Удивился… Антивирусная защита и защита от атак извне у меня сделана неплохо. Базы регулярно обновляются. На левые сайты я никуда не ползал и т.д.

Прочесал инет на тему этой гадости, решений не нашёл, кроме упоминания скрипта для AVZ. Скачал AVZ — не полегчало… Дело было к вечеру, вырубил комп от греха подальше (он круглосуточно работает) и переложил все вопросы на следующий день, т.е. на сегодня.

С утреца, захватив с собой бук, начал разбор полётов и предался воспоминаниям о навыках борьбы с гадкими троянами времён своего сисадминства на заводе:

1. Прогнал сканером ESET NOD32 комп — ничего… Жаль. Сидит себе в памяти…

2. На буке качнул (на заражённом компе работать было просто невозможно) и положил на флешку:

Запускаю Trojan Remover, начинает шуршать винтами. Несколько раз поругивается на файло — говорю УБЕЙ ГАДА!!! Итог: сидит гад в памяти…

Запускаю Ad-Aware Free , находит 6 подозрительных куков и два файла с подозрением на трояны, но не нашего красавца.

Итог: гад продолжает сидеть в памяти…

Во время работы Trojan Remover  и Ad-Aware Free, методично перебирающих файлы, периодически просыпался монитор ESET NOD32 и радостно кричал о найденных троянах (всяконьких). Неизлечимые файлы убивал или кидал в карантин, но я опять этого трояна в списках я так и не увидел (может пропустил яростно соглашаясь убить нечисть?). ***

Запускаю Kaspersky Virus Removal Tool. Ситуация с просыпающимся монитором ESET NOD32 повторилась несколько раз и тут случилось ОНО! Kaspersky наткнулся на трояна (опять не тот по названию, афигеваю!), для удаления которого требовался ребут компа.
Соглашаюсь. Kaspersky ещё пошуршал минут 15 и отправил комп перезагружаться.

Момент истины после ребута: Ура! Комп снова стал тихоней, заразы в памяти не обнаружено…

*** Кто именно убил Win32/Spy.Shiz.NBW, сам ESET NOD32 или утилиты, я так и не понял. Каждая из прог нашла у меня на компе что-то «своё родное»…

Однако, в который раз (впервые ещё на чисто англицкой v.2) заметил особенность ESET NOD32 — его монитор находит и лечит/убивает кучу заразы, если запустить любую программу которая просто методично открывает файлы…

Почему он не делает этого при получении и открытии файлов в процессе работы — для меня загадка. Надо порыться в настройках или тех.поддержку потрясти. Сегодня монитор ESET NOD32 нашёл даже экзотику типа JS/Exploit.Pdfka.PCA на куче обычных с виду pdf с даташитами…

Думаете перейду с ESET NOD32 на другой антивирь? НЕ ДОЖДЁТЕСЬ!!! 😎 Я с ним дружу с 2002 года, а в произошедшем виню только себя — расслабился и перестал регулярно проводить профилактические сканы винтов конкурирующими бесплатными утилитами. А на своём компе к тому-же забыл поставить Ad-Aware FREE после переустановки OS…

ps1: Появился ESET NOD32 v.5

ps2: Позже нашёл ещё вариант борьбы с помощью AVZ http://virusinfo.info/showthread.php?t=111012&highlight=Spy.Shiz.NBW

ps3: Незванный гость. Win32/TrojanDownloader.AD

Утащить к себе
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • LiveJournal
  • В закладки Google
  • PDF
  • Одноклассники
  • email
  • Print
  • RSS
  • LinkedIn

You may also like...

77 комментариев

  1. GiGa:

    «Почему не убивает» … Ответ прост. Идет Нод32 по дому — видит на ковре складочка, обходит (ну она жить ему не мешает). Приходит к нему в гости Каспер и начинает наводить свои порядки — посуду переставлять, пыво пить и залазит под ковер — складочку проверить. Под складочкой мусор, Нод32 стыдно и он мусор быренько пылесосит.
    З.Ы. Папа, расскажи мне на ночь сказку про смелого юзера и мудрого нод32 (с) Фыдо ))))))

  2. Алексей Кощеев:

    Тема пользуется просто бешеной популярностью. Делитесь своими решениями проблемы с этой гадостью!

    • Александр:

      Спасибо вам! Раньше,получая помощь,поступал по свински,решив проблемы,забывал сказать слова благодарности.Вычистил реестр,убрал из автозагрузки,гада больше нет.

    • Алексей:

      Алексей спасибо тебе огромно ЧЕЛОВЕЧИЩЕ, благодаря твоим советам, поймал 3 вируса в оперативке и 6 в компе, а хотя Eset Nod32 нащел тока 3 штуки в опере:-)

  3. Алексей Кощеев:

    Мониторю решение этой проблемы, много вариантов скриптов для AVZ, но почему-то у всех разные файлы надо прибивать. Мутирует?

    Например тут http://pchelpforum.ru/f26/t73914/ и тут http://virusinfo.info/entry.php?b=30&s=7c886cf334c28bdc12415f32a92c7280

    • Иван:

      похоже. как удалил — сам не понял до конца.
      вот журнал скана НОД

      06.11.2011 11:55:14 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память вероятно модифицированный Win32/Spy.Shiz.NBW троянская программа очистка невозможна

      послед моих действий

      проверял с помощью утилиты от Веба (имя файла ncugl2ge) — нашел — но не то.
      далее Нодом — winlogon.exe(492) вероятно модифицированный Win32/Spy.Shiz.NBW троянская программа очистка невозможна

      в диспетчере с включенным Вебом закрыл процесс winlogon.exe — комп перегрузился

      далее НОД сообщил 06.11.2011 16:24:40 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » ncugl2ge.exe(5976) вероятно модифицированный Win32/Spy.Shiz.NBW троянская программа очистка невозможна

      попытался закрыть в диспетчере ncugl2ge.exe(5976)- не получилось, попытался удалить файл — не получилось- удалил с помощью Unloker после перезапуска

      а далее НОД сделал следующее 06.11.2011 16:24:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » C:\Windows\AppPatch\wryjxmm.exe модифицированный Win32/Spy.Shiz.NCD троянская программа очищен удалением — изолирован

      проблема тсчезла

  4. Оля:

    Хм… странная прога сама по себе, никогда раньше с таким не сталкивалась. Одно могу сказать точно — автору спасибо. Скачала три предложенных программы (запустился только каспер). И судя по всему этот самый каспер и грохнул троянчика. Каким образом сказать увы не могу… сканировала три раза но антивирус так ничего и не обнаружил. Потом снова зашла через Нод32 и вуа-ля он смог спокойненько ее удалить… опять же таки как — остается загадкой. Одно могу сказать точно — помог скорее всего именно касперский. Так, что спасибо)

    • Алексей Кощеев:

      Я тоже думаю на Каспера, т.к. именно он возжелал ребутнуть комп. Однако смущает что обозначил вирус совсем с иным именем, не записал… Но точно не тем!

  5. Dohturr:

    Вчера столкнулся с подобной проблемой после установки «eset nod32 antivirus 4» и сканирования компа. Погуглил немного, почитал на форумах и решил попробовать «Kaspersky Virus Removal Tool«.
    Проблема исчезла!
    Спасибо всем кто подсказал!

    • Алексей Кощеев:

      На здоровье! А то тут на меня попытались слегка наехать, обвинили в «лженауке» и назначили AVZ средством от всех проблем…

  6. Humanoid:

    Кто может сказать кто заказчик и куда сливаются данные?

  7. Алексей Кощеев:

    На форуме ESET в теме «Оперативная память вероятно модифицированный Win32/Spy.Shiz.NBW троянская программа очистка невозможна» предложено воспользоваться программой uVS http://dsrt.dyndns.org/ и выполнить в ней скрипт

    ;uVS v3.71 script [http://dsrt.dyndns.org]
    delall %SystemDrive%\USERS\-\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\AKZ9OSTA\MSVBVM50[1].EXE
    regt 1
    regt 2
    regt 3
    regt 18
    deltmp
    delnfr

    Меню Скрипт.
    Выполнить скрипт находящийся в буфере обмена
    Вставляем текст скрипта
    ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
    И жмем выполнить.

  8. Алишер:

    Была та же проблема… использовал Dr Web Curelt— и вирусов как не бывало!!!

  9. Sanekk:

    NOD32 нашел этот вирус в оперативной памяти — удаление невозможно. Перегрузился в безопасном режиме (winlogon в этом режиме не загружается). Запустил сканер NOD32, после окончания проверки перезарузка в обычном режиме. Вируса нет.

  10. Artmy:

    NOD32 откопал сегодня у сотрудницы на машине Win32/Spy.Shiz.NCE. Писал , что заражён процесс в памяти winlogon и убить он его не может. Вытащил из заражённой машины хард я подключил его к своему компу и проехался по нему NOD32 с базами за 17.11.2011(т.е. за сегодня) — NOD32 ничего не нашёл!
    Скачал Kaspersky Virus Removal Tool и запустил его, указав предварительно на заражённый винт — тоже ноль!
    Поэтому я для начала удалил все Temp на заражённом винте в папках
    c:\Documents and Settings\%User%\Local Settings\Temp\
    c:\Documents and Settings\%User%\Local Settings\Temporary Internet Files\

    Порывшись в инете, а потом в реестре я понял, что вирус этого типа любит прописывать себя в реестре после процесса userinit.
    Подклюяив винт обратно к машине и загрузившись в безопасном режиме, запустил regedit и по слову userinit нашёл в
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    C:\WINDOWS\system32\userinit.exe, c:\WINDOWS\AppPatch\bаlyan.exe

    Я по своему опыту знаю, что там после «userinit.exe» ничего стоять не должно поэтому исправил этот ключ на:
    C:\WINDOWS\system32\userinit.exe

    и дал поиск в реестре по слову balyan и все найденные ключи удалил, а также прибил bаlyan.exe в папке c:\WINDOWS\AppPatch\
    После перезагрузки NOD32 ничего не обнаружил.

    • Алексей Кощеев:

      Имя файла у всех пляшет c:\WINDOWS\AppPatch\bаlyan.exe

      • Artmy:

        Да, имя файла у всех пляшет, есть такое. Поэтому для каждого отдельного случая надо при поиске в реестре указывать то имя файла, которое обнаружится в ключе Userinit в ссылке c:\WINDOWS\AppPatch\%имя файла%

        Самое смешное, что я ответил одному пользователю на форуме Dr.Web, где речь шла об удалении этого вируса. Сегодня мой ответ благополучно убрали. Наверное решили, что я отбиваю у них хлеб… 🙂

        • Алексей Кощеев:

          Точно так же чикнули и мой пост на одном из форумов борцов с вируснёй, обозвав мой вариант борьбы дурацким и не имеющим никакого смысла… 🙂

          • таня:

            у меня внешний жесткий подхватил 32 вирус и теперь не одна папка не открывается пишет- на конце каждой папки .exe Что делать? я не сисмин плохо понимаю термины

    • Kate4exova:

      а я все на много проще сделала 😉
      дали уже зараженный комп. антивируса не было никакого вовсе.
      поставила eset nod32 v4.2
      подкинула базы 6649
      настроила антивирус. я думаю все знают, что в базовом конфиге все очень скромно…
      запустила скан
      winlogon.exe заражен Win32/Spy.Shiz.NCE
      и далее все предельно просто
      ребут. f8. безопасный режим. замена испорченного winlogon.exe на оригинальный winlogon.exe
      ребут.
      все 🙂
      полный скан винтов, удаление кусков (в частности из c:\WINDOWS\AppPatch\) зараза и комп живет нормально дальше 🙂

      • Алексей Кощеев:

        +100
        Про настроечки бы поподробнее… Ибо в них всё дело…

        • Kate4exova:

          начиная с версия eset nod32 v3 у антивируса имеется 4 типа защиты (у SS еще 3):
          1. защита в режиме реального времени;
          2. защита документов;
          3. защита почтового клиента;
          4. защита доступа в интернет.
          во всех вышеперечисленных типах защиты отключены по умолчанию параметры расширенная эвристика и потенциально опасное ПО.
          защита документов и вовсе отключена, как и расширенная эвристика запуска файлов. названия перечисленных параметров сами говорят о том, за что они отвечают 🙂 так же имеется отключенный параметр блокировки съемных носителей. все это приводит к серьезной угрозе системе при появлении новых зараз, поскольку они могут классифицироваться антивирусом как потенциально опасное ПО. думаю все знают историю в radmin версии 2.0-2.2. вот это именно из этой оперы. посему, включаем все галочки и не забываем установить режим очистки на максимальный- чтобы антивирус сносил заразу самостоятельно, не дожидаясь действий пользователя. в противном случае комп может по какойто причине уйти в ребут и зараза после ребута хорошо осядет в системе, потому как пользователь не сказал антивирусу что делать с потенциально опасным ПО…:) так что дерзайте! 🙂 и еще- мой совет юзайте eset nod32 v4.2 SS и тогда вообще проблем знать не будите 😉

    • Dmitry:

      Спасибо, помогло

  11. сергей амелин:

    мужики помогите!я свернул оперу и тихонько протирал пыль на своём компьютерном столе и тут БАХ-Оперативная память — модифицированный Win32/Spy.Shiz.NCE троянская программа — очистка невозможна такая хрень вылезает! мой нод32 уже нашел 627 угроз я сканировал и ничего не помогает постоянно выбивает c:\WINDOWS\AppPatch\lmsyap.exe! что делать мужики?? прошу помогите! я спрашивал знакомого он сказал что это заглючил нод32 незнаю правда ли?

    • Алексей Кощеев:

      Пробовал рекомендацию Artmy от 17.11.2011 10:27?

      … загрузившись в безопасном режиме, запустил regedit и по слову userinit нашёл в
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

      C:\WINDOWS\system32\userinit.exe, c:\WINDOWS\AppPatch\bаlyan.exe

      Я по своему опыту знаю, что там после «userinit.exe» ничего стоять не должно поэтому исправил этот ключ на:
      C:\WINDOWS\system32\userinit.exe

      • Незнайка:

        Пробовал рекомендацию Artmy от 17.11.2011 10:27?

        … загрузившись в безопасном режиме, запустил regedit и по слову userinit нашёл в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

        C:\WINDOWS\system32\userinit.exe, c:\WINDOWS\AppPatch\bаlyan.exe

        После «userinit.exe» ничего стоять не должно поэтому исправил этот ключ на:
        C:\WINDOWS\system32\userinit.exe
        У меня там стояла хрень под названием gwjpcmb -удалил

        Нашел поиском в реестре еще несколько хвостов-run , log с такой ерундой gwjpcmb -удалил

        Просто в папке c:\WINDOWS\AppPatch\ был эхэшник под названием gwjpcmb -удалил
        Все это в безопасном режиме и в два круга

        И УРА ЗАРАБОТАЛО- НОД32 НИЧЕГО НЕ НАХОДИТ!!!

  12. Мария:

    Мне не помог Каспер…
    и даже не знаю что делать,троян так и сидит в оперативки:@

  13. Антон:

    Только что победил данную дрянь. Вот http://forum.esetnod32.ru/forum6/topic2823/

    правда программу malwarebytes не по их ссылке скачивал. Обновил ее полностью.

    • M. K. Lost:

      Спасибо огромное, помогла только malwarebytes, остальные программы его в упор не видели.

      Совсем недавно из-за подобной проблемы пришлось винду переустановить, поэтому узнала гада я сразу. Запустила сканер и НОД32 выдал Оперативная память explorer.exe(420) — вероятно модифицированный Win32/Spy.Shiz. NCE троянская программа очистка невозможна.

      Поскольку я не очень уверенный ПК пользователь, все эти скрипты и то про что писали выше для меня темный лес. На ноуте была утилита AVZ, но она ничего не нашла. Далее последовали: Dr Web Curelt, SUPERAntiSpyware, Trojan Remover. Последняя надежда была на Ремувер Касперского и malwarebytes. Запустила их я одновременно, долго и упорно они пытались найти вирус, в итоге ремувер сказал что всё классно. Но malwarebytes (о чудо) нашел 4 вредоносные программы, предложил ребутнуть ноут и после включения НОД32 вирусов не обнаружил!

      Загадкой оставалось только откуда троян пришел ко мне, AVZ определил один из файлов как Downloader-Win32 и сказал, что это кака почти 100%, причём при скачивании того файла я проверяла его НОДом и он ничего плохого в нём не видел.

  14. Олег:

    Ребята, ОЧЕНЬ прошу, помогите избавиться от этой гадости:
    explorer.exe(1784) — модифицированный Win32/Spy.Shiz.NCE троянская программа — очистка невозможна

    Если можно, то очень подробно опишите куда и на что жать?!

    СПАСИБО!!!!!!!

  15. вадим:

    Парни, решение банально, но у меня прокатило. Я просто восстановил систему по контрольной точке восстановления.Т е откатил на пару дней назад. ПУСК-ВСЕ ПРОГРАММЫ-СТАНДАРТНЫЕ-СЛУЖЕБНЫЕ-ВОССТАНОВЛЕНИЕ СИСТЕМЫ.Запустил проверку NOD32. Нет вируса

  16. кексмен:

    после собщение нода я стал активно искать инфу по удалению этой заразы. Решил расказать как я от него ( Win32/Spy.Shiz.NCE ) избавился.
    Прочёл здесь что вирус сидит в папке c:\WINDOWS\AppPatch\ проверил НОДом, нашёл (модифицированный Win32/Kryptik.ZUK)
    Потом НОД32 целых полчаса пытался отправить его в карантин.
    Вышло собщение что файл заблокирован и нужно перезагрузить комп для его удаление.Нажал «да» и после перезагрузки вирус переехал в карантин.

  17. Артем:

    Моя вариация — Win32/Spy.Shiz.NCE Поскольку в оперативной памяти и iexplorer? то я полез в надстройки IE. В поисковиках у IE действительно нашёл лишнюю надстройку (название кракозябрами). После удаления и перезагрузки вирус отсутствует) Только реестр осталось почистить от записей авторана)

  18. Алексей Кощеев:

    Никак не могу найти описалово этого вируса. Что он гадёныш делает?

    • Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 83456 байт. Написана на C++.

      Инсталляция. После запуска троянец копирует свое тело в следующий файл:

      %System%
      Системный каталог ОС Windows (обычно, C:\Windows\System32) \3P2QBvv.exe

      Для автоматического запуска созданной копии при каждом следующем старте системы троянец создает ключ системного реестра:

      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      Ветка системного реестра HKEY_LOCAL_MACHINE

      «Userinit» = «…,%System%
      Системный каталог ОС Windows (обычно, C:\Windows\System32) \3P2QBvv.exe»

      Таким образом, копия троянца будет запускаться на выполнение процессом «WINLOGON.EXE» даже при загрузке компьютера в «безопасном режиме».

      Деструктивная активность
      После запуска троянец выполняет следующие действия:
      • находит в системе следующие процессы:

      opera.exe
      iexplore.exe
      java.exe

      и устанавливает функции-перехватчики на следующие API-функции:

      Getaddrinfo
      gethostbyname
      inet_add
      PeekMessageW

      Это позволяет троянцу отслеживать посещаемые пользователем сайты и перехватывать отправляемые в сеть данные.
      • Следит за клавиатурным вводом пользователя (keylogger).
      • Похищает пользовательскую информацию, касающуюся таких систем интернет-платежей, как

      FAKTURA
      Raiffeisen
      Webmoney
      BS-Defender
      INIST

      Полученную информацию троянец отсылает на сайт злоумышленника.

  19. Ну так несколько рекомендаций по борьбе с современными вирусами.

    Проверка системы на вирусы должна выполняться из под заведомо не зараженной системы, при этом желательно иметь доступ к реестру и файловой системе с исходным именование путей. Для этого замечательно подходит такая вещь как ERD Commander. Все производители антивирусного ПО так же предлагают свои варианты LiveCD, но они подходят только для антивирусной проверки одним антивирусом и изредка предлагают дополнительные возможности сильно урезанные по функциональности.

    Я бы рекомендовал выделить отдельную флешку объемом 4-8Гб и создать мультизагрузочник(для людей не особо разбирающихся как это сделать отлично подойдет программка SARDU http://www.sarducd.it/ которая в автоматическом режиме сама скачает необходимые образы и соберет флешку). Так же на флешку нелишним будет поместить файлы explorer.exe, userinit.exe, winlogon.exe, taskman.exe скопированные из Вышей версии Windows после последней установки сервиспака.

    Не лишним будет проверить список автозагрузки и ветки загрузки Виндовс (HKLM\Software\Microsoft\Windows NT\CurentVersion\Winlogon)

    А еще лучше создать файлик реестра следующего содержания(для Вин7):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    «Shell»=»explorer.exe»
    «Userinit»=»C:\\Windows\\system32\\userinit.exe,»

  20. София:

    Мне на комп недельку назад прилетел троян похожий: Win32/Spy.Shiz.NCE.
    Нод32 также написал что он в explorer.exe и очистка не возможна..По своей глупости я первые дня три игнорировала крики антивира размышляя: «тряном больше, трояном меньше… и раньше были.. разберусь потом…».

    Однако потом разобраться мне обломалось. Начались проблемы со скайпом — исчезала панель инструментов, как сказали мне сведущие люди — троян залез в систему и не позволял до конца запускаться системе и некоторым программам. Периодически троян у меня судя по НОДу «перепрыгивал» на ctfmon.exe если я правильно пишу ибо запомнила плохо. Сведующие люди мне говорили что это связано со звуком в системе. В такие моменты скайп грузился на 100%.

    Попытки убрать троян самостоятельно ни к чему не привели, пыталась сделать всё то же самое, что описано у вас тут — обломалось просто потому что одна прога не устанавливалась а две другие не давали результата… Попытка самостоятельно поменять виндоус тоже провалилась — БИОС не видел ни флешку ни диск с записанными на них образами винды.. Пришлось нести к программисту и он мне поставил новый виндоус ибо старый был неизлечим) Кстати трояну этому могу сказать только спасибо… Благодаря ему, я не только познакомилась с классным программистом, к которому теперь могу общараться за помощью если что, так еще и кучу всего интересного и занимательного узнала о своем компьютере)

    PS: больше я не полезу на хентайные сайты…( я думала, что аниме-сайты вирусами не грешат… Облом однако)

    • Алексей Кощеев:

      Тоже заметил, когда комп был заражён, при начале разговора по Скайпу комп еле шевелился, загрузка проца 100%…

  21. кексмен:

    сука опять вылез
    тока теперь НОД32 В папке AppPatch его не видит
    зато я вижу его (гада) но ничё сделать немогу))))
    буду качать каспера

  22. Делала все по рекомендации Artmy от 17.11.2011 at 10:27 вирус исчез. Касперский вирус не обнаружил ((( Спасибо огромное всем за информацию и пусть все вирусы обходят ваши компьютеры стороной !

  23. Анжелочка:

    Здравствуйте!Спасибо большое за указанную инструкции как избавится от этого трояна. Помогло у меня он тоже исчез. Спасибо вам огромное!

  24. JamesYP:

    Спасибо за статью очень достойный сайт

  25. Денис:

    Спасибо автору за способ, действительно помогла, кстате да это действительно Kaspersky, Запускал только его, после перезагрузки троян пропал.

  26. vladka:

    Спасибо за статью и комменты.
    Удалил в ручную: запустил nod32 LiveCD, просканил, удалил C:\Windows\AppPatch, файл подкачки, подчистил временную папку temp, почистил реестр.

  27. servfane:

    Hack again?!

  28. piligrim:

    Очень интересно

  29. Иван:

    Сделал как писал вадим says: от 28.01.2012 at 16:49 ПОМОГЛО вирус из оперативки исчез. надеюсь навсегда.

  30. insargila:

    Друзья мне порекомендовали этот сайт. Теперь я буду постоянно заходить сюда.

  31. CrazyTeacher:

    Подцепил где-то эту хрень. Хотя в последнее время антивирус Avira справлялся. сеачала пошла ссылка на проблемы с ieplorer.exe. Отправил отчет в Майкросовт- сказали что вирус. Потом стал комп тормозить, просить увеличить виртуальную память. Пытался найти заразу Авирой и кьюрейтом. Далее вылезла ссылка на некий файл.exe (он у всех разный). Файл сидел в папке AppPatch, измененной 1.05.12. Комп тормозил, открывалось только одно окно. Некоторым антивирусам загрузиться не давал. Попробывал поочереди все вышеуказанные способы. И скрипты в avz пробывал, Ксаперский не справился, а вот malewarebytes помог. Отыскал 54 вредоносных элемента и точно указал на эту хрень.exe в папке AppPatch и объяснил, что быть ее там не должно. Спасибо
    Попробывал

  32. Menelok:

    Да…дизайн явно надо было бы сменить:) Тёмно-зелёный цвет отлично подошёл бы xD

  33. Утеплитель RE-THERM позволяет теплоизолировать практически любую поверхность (стены, трубы, кровли и т.д.). 1мм RE-THERM = 50мм. теплоизоляции. Утеплитель RE-THERM является жидкой субстанцией, что позволяет применять его даже непрофессионалам, как обычную краску – кистью, валиком или распылителем.
    Тел.: (8202) 57-23-80
    http://www.re-therm.ru
    mk.invest@mail.ru

  34. Антон:

    Помогите плиз , сегодня в опере сидел и вдруг нод запищал типо C:\Users\Антон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zsLAlwnp6eo.exe — модифицированный Win32/Kryptik.AGAV троянская программа и не может быть изолирован .
    Потом начал проверять windows нашел Оперативная память = explorer.exe(1820) — вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа — очистка невозможна . Помогите плиз т.к сам не разбираюсь !

    • Антон:

      и … проверил Dr.Web Curelt ничего не нашел ..

    • Алексей Кощеев:

      нужен спец…

      1. установть System Explorer и посмотреть параметры запуска этих процессов
      2. чистить стартап через редактор реестра в защищенном режиме
      3. убить файлы физически

    • Надежда:

      Помогла программа malwarebytes, Касперский не удалил вирус Win32/Spy.Shiz.NCE. Спасибо

  35. denLA:

    Помогите пожалуйста, выскачила такая вот штука- сначала NOD32 писал что она в skype, а затем вот здесь….Оперативная память = IAStorIcon.exe(3032) — модифицированный Win32/Spy.Shiz.NCE троянская программа — очистка невозможна Народ посоветуйте что делать?

    • Алексей Кощеев:

      1. Прочитать статью и особенно камменты
      2. Защищенный режим
      3. Чистить, чистить, чистить

  36. DIM:

    Спасибо за Malwarebytes Anti-Malware. После быстрого сканирования и удаления обнаруженных угроз всё пока вернулось в норму.

  37. sergey:

    комп у меня мощный скачал касперского 30 дней прогнал нашол гада а так и не заметно что тормозил ))))

    щас лето у каво грееца комп пишите на почту rv3aeg@yandex.ru примем меры

  38. Спасибо. Dr.Web Curelt просто супер! Удалил эту заразу — \jupiter\energy.exe — модифицированный Win32/Kryptik.ABAN троянская программа без проблем. Еset nod32 видел, но ничего не мог сделать.

  39. Al:

    Большое спасибо за Ваш классный сайт! Очень сильно помогли мне и моему старенькому компу с XP. Антивир свой Nod32 v.5,закричал про трояна в оперативной памяти. Ночью 3 часа потерял, с утра практически до ночи пока все не перебробовал не успокоился. Итог помогла прога Malwarebytes Anti-Malware. Спасибо разработчиком от всей души, не знал до этого, что такие великолепные вещи существуют. Теперь я Ваш пользователь. Дерзайте не робейте. Всё будет Ок!

  40. Shift:

    Спасибо сайту за полезные ссылки! Nod32 v4 «радостно указал» и «горестно охнул»: Оперативная память = EXPLORER.EXE(1268) — модифицированный Win32/Spy.Shiz.NCE троянская программа — очистка невозможна. Malwarebytes Anti-Malware удалил троян из системы за 5-6 минут!

  41. Александр:

    Спасибо огромное всем! Наконец то я убил этого гада:) Не помогли ни доктор ВЕБ, ни Каспер, только после установки и запуска Malwarebytes Anti-Malware у меня «проснулся» НОД32 и вдвоем они уделали все вирусы что обнаружили, в том числе и проклятый Win32/Spy.Shiz.NCE! Еще раз спасибо добрым людям за помощь!

  42. Алексей Кощеев:

    SpybotSearch & Destroy.
    Бесплатная программа. Висит тихонькл в трее и ловит все изменения в реестре.
    http://www.safer-networking.org/dl/
    Русский язык есть.

  43. Павел:

    Тоже спаймал эту «мразь цифровую» 18.10.2012 2:36:22 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1988) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна

    Malwarebytes Anti-Malware — просто спасла!!! 15 минут и троян дубу дал.а я уж думал хана ОС, а то и похуже… «винты» орали так, думал улетят.

    Благодарю от чистого компа=) С уважением, Павел

  44. Только линуксоиды не могут похвастаться такими баталиями 🙂 Жизнь мимо проходит 🙂

Добавить комментарий

%d такие блоггеры, как: