Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна (заявка № 128802)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15

    модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна

    Доброй ночи!

    ПК стал глючить: сбился DNS, перестали грузиться картинки на некоторых сайтах, срашно тормозит Опера, в Експлоер не выполняются клики и т.д. запустил ENOD на сканирование.
    ENOD выдал следующие:

    15.12.201223:19:00 Модуль сканированияфайлов, исполняемых при запуске системы файл Оперативная память = C:\Documents andSettings\Admin\Application Data\wxuaex8.exe модифицированныйWin32/SpyVoltar.A троянская программа очистканевозможна

    Проделал операции, изложенные в правилах. Результатом стал этот запрос.

    Прошу помочь.

    С уважением, Юрий
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Lapsi, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,425
    Вес репутации
    904
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\documents and settings\admin\application data\wxuaex8.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\ulqdnri.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\6AAFB466300.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rp0c');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
     DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2','*',true);
     DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\ulqdnri.dll');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,3,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

  5. #4
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Новые файлы
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,425
    Вес репутации
    904
    Что с проблемой?

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Основные проблемы исчезли. ЕНОД 32 и Dr.Web-CureIt не находят трояна.
    Из субъективных факторов: подтормаживает ОПЕРА 12.11 и в моменты торможения жрет до 300 метров памяти.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2912
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Вот необходимый лог

    - - - Добавлено - - -

    Цитата Сообщение от Lapsi Посмотреть сообщение
    Вот необходимый лог

    Уважаемые Хелперы!

    Также в течение дня пропала загрузка картинок " В КОНТАКТЕ". На ряд сайтов не зайти пишет: "Невозможно найти удалённый сервер".

    Юрий
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2912
    Удалите в МВАМ только указанные строки
    Код:
    Обнаруженные ключи в реестре:  6
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: COMPI_7875768FB054399B -> Действие не было предпринято.
    
    Обнаруженные папки:  2
    C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
    
    Обнаруженные файлы:  24
    C:\Documents and Settings\Admin\Application Data\198.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Добрый вечер!

    Вот новыйлог после удаления:
    Вложения Вложения

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    С помощью МВАМ ??

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Еще раз добрый вечер!

    Вот лог:
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,556
    Вес репутации
    708
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?

  17. #16
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    приветствую!

    Получилось вот что:

    Старые проблемы исчезли.
    Слегка подтормаживат при открытии папок, слегка подтормаживает при этом в виде замедленного обновления экрана.

    Что делать дальше?
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,556
    Вес репутации
    708
    - Установите эти обновления.

    - Очистите компьютер от мусора, как написано здесь.

    - Сделайте дефрагментацию диска.

    - - - Добавлено - - -

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Доброй ночи!

    Яву обновил. Удалил КвикТайм.
    Почистился от мусора первой утилитой.

    Дефрагментация - это до утра...

    Пока подтормаживает, как будто видео-карта тормозит.. Хотя я могу ошибаться.

    Вот лог AdwCleaner[R1].txt.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,556
    Вес репутации
    708
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

  21. #20
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    15
    Доброй ночи!
    Вот что получилось:
    Вложения Вложения

  • Уважаемый(ая) Lapsi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 06.08.2012, 12:29
    2. Ответов: 2
      Последнее сообщение: 17.07.2012, 08:28
    3. Ответов: 3
      Последнее сообщение: 02.07.2012, 18:53
    4. Ответов: 3
      Последнее сообщение: 01.07.2012, 19:07
    5. Ответов: 2
      Последнее сообщение: 10.06.2012, 12:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00104 seconds with 23 queries