Вирус SpyVoltar.A Помогите мне пожалуйста!!! [HEUR:Trojan.Win32.Generic ]

[Kusege]

Я пользуюсь Opera и вот посетив один из сайтов я непонятно как подцепил этот вирус ничего не скачивая!!!!
Вот что пишет мой NOD 32

Обнаружена угроза в памяти
Объект:Оперативная память=С:User\Администратор\AppData\Roaming
Угроза:модифицированный Win32\SpyVoltar.A троянская програма
Информация:очистка невозможна

Помогите мне пожалуйста!!!Как удалить эту заразу не знаю.Файлы анализа прилагаю.Заранее спасибо!

[Info_bot]

Уважаемый(ая) Kusege, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в Hijack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O2 - BHO: UrlHelper Class - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - (no file)

Сделайте новые логи

[Kusege]

Скрипт выполнил и пофиксил,а вот как прислать карантин непонимаю...Где брать эти файлы?

- - - Добавлено - - -

Всё спасибо-с карантином разобрался.Теперь делаю новые логи

- - - Добавлено - - -

Посмотрите пожалуйста всё ли нормально теперь?

[thyrex]

Что с проблемой?

[Kusege]

Да всё нормально.Вируса больше нет.Скажите а вы не подскажете почему у меня при загрузке программ они сразу неотвечают?Скайп у меня не работает.И видео в Опере когда пытаюсь развернуть на весь экран-опера сворачивается.Не удаётся развернуть на весь экран скразу краш.Но за решение проблемы с вирусом огромное спасибо!!!Постараюсь вам помочь финансово с развитием доброго дела.

[thyrex]

Вряд ли подобное поведение связано с вирусом, но на всякий случай давайте еще выполним пару проверок

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Kusege]

Хорошо.Сейчас сделаю

- - - Добавлено - - -

Логи RSIT уже сделал.Пробую просканировать MBAM,но она у меня сначала работает,а потом перестаёт отвечать.Пробую уже второй раз.Да и вообще в последнее время у меня все програмы то работают,то подвисаю и так циклично.Раздражает конечно(((Скайп вообще открывается и какое то пустое окно+видео на полный экран в опере не раскрывается сразу происходит краш и опера сворачивается.Плюс ещё гаджеты на рабочем столе то пропадают то появляютя(не вижу логики).Просто не хочется заново устанавливать систему ведь это столько мороки всё заново устанавливать(((

- - - Добавлено - - -

Второй раз подвисла MBAM видимо не судьба...И диск С даже непросканировала,но уже нашла какие то 2 объекта,обозначенные красным цветом.Высылаю вам файлы RSIT,потому что MBAM похоже не получится(((

- - - Добавлено - - -

Всё таки пошло сканирование MBAM.Уже нашёл 3 файла

[thyrex]

C:\ProgramData\IBank удалите вручную

Смените все пароли

Больше придраться не к чему

[Kusege]

Сейчас ещё анализ MBAM поспеет).Нашёл уже каких то 3 объекта

- - - Добавлено - - -

А вот и MBAM лог

[regist]

Удалите в MBAM только

Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Код:

Обнаруженные параметры в реестре:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: c[ђ^.fuиђџС=f,юmkЭзж’г¬Нo€JЂ¤њ3т+HЛh‡ЅбLD^ukKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzР;©#—(о»зPМUб™•7BмkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzkKgНzS[ј?hХ*Ї -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Users\Администратор\AppData\Roaming\winzipsoft (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\yuqnayyt.exe (Backdoor.Buterat) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\_todel2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\a.htm (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\bander.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\dir.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\dot.gif (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\htmlayout.dll (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\logo.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\logo2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\scroll.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\wfont.ttf (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\winzipvinfo (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\xsendexe.tmp (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\_todel.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\_todel3.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\_todel4.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winzipsoft\_todel5.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\data (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\winxrar\winxrar.exe (Trojan.Agent) -> Действие не было предпринято.

C:\Windows\System32\MRS.exe - проверьте на http://www.virustotal.com/ ссылку на результат проверки напишите здесь.

[Kusege]

https://www.virustotal.com/file/7aa1...8556/analysis/

По-моему в этом анализе нет ничего хорошего....Вирусняк кажется....

[regist]

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы, больше похоже на ложное срабатывание.

[Kusege]

Отослал

[regist]

файл чистый, что с проблемой ?

[Kusege]

Да всё нормально уже.Спасибо большое вам!

[regist]

смените пароли !

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\администратор\\appdata\\roaming\\micros oft\\taskhost.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.17973 )