Win32/SpyVoltar.A

Printable View

15.12.2012, 18:34
Cepera

Win32/SpyVoltar.A

Проверяет при включении компьютера анти-вирус ESET smart security пишет обнаружен вирус:
Модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна.
Подскажите что делать
15.12.2012, 18:35
Info_bot

Уважаемый(ая) [B]Cepera[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.12.2012, 19:50
Cepera

Вложений: 3

Вот логи
[ATTACH]391965[/ATTACH]
[ATTACH]391964[/ATTACH]
[ATTACH]391966[/ATTACH]
16.12.2012, 09:44
Techno

Тулбар MediaBar сами установили?

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B4BB74-55DC-4737-8205-63E5E0966160}: NameServer = 5.199.140.180[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\administrator\application data\ydz5sgh.exe');
QuarantineFile('c:\documents and settings\administrator\application data\ydz5sgh.exe','');
DeleteFile('c:\documents and settings\administrator\application data\ydz5sgh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7kzt457adc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.
16.12.2012, 19:40
Cepera

Вложений: 3

Нет, тулбар не устанавливал.
[ATTACH]392189[/ATTACH]
[ATTACH]392191[/ATTACH]
[ATTACH]392192[/ATTACH]
17.12.2012, 13:43
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
18.12.2012, 00:18
Cepera

Вложений: 1

Сегодня анти-вирус написал что вирус удалён
Обьект:
C:\Document and Settings\Administraror\Local
Settings\Temp\qxqcya9s.exe
Угроза:
Win32/SpyVoltar.A троянская программа
Информация:
очищен удалением - изолирован.
Но на всякий случай вот лог полного сканирования МВАМ
[ATTACH]392595[/ATTACH]
18.12.2012, 14:52
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные папки: 4
C:\Documents and Settings\Administrator\Главное меню\Программы\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 18
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Temp\qxqcya9s.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{EB64011F-253D-4BFD-8EC9-3A66327E41D3}\RP89\A0221078.exe (Trojan.Winlock) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Главное меню\Программы\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.[/code]
18.12.2012, 19:05
Cepera

Вроде все удалил, нужно заного сканировать ?
18.12.2012, 19:20
Techno

Что с проблемами?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Cepera;950144"]Нет, тулбар не устанавливал.[/quote]
Удалите через установку/удаление программ, если он там есть...
19.12.2012, 03:23
Cepera

Win32/SpyVoltar.A удалён.
Тулбар остался, но только если в оперу входить с панели быстрого запуска.
В установке/удаление программ тулбар ненашел.
Ну в общем проблемма устранена, через панель быстрого запуска оперу редко запускаю, тем более его можно сразу закрыть. Спасибо вашему форуму за помощь.
19.12.2012, 20:33
Techno

[quote="Cepera;951220"]Тулбар остался[/quote]
Удалим...

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll
O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll','');
DeleteFileMask('C:\PROGRA~1\IMESHA~1','*',true);
DeleteDirectory('C:\PROGRA~1\IMESHA~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
19.12.2012, 23:39
Cepera

Вложений: 1

Почему-то у меня не загружается через "прислать запрошенный карантин" пишет "спасибо..." а на страницу не скидует.
[ATTACH]393053[/ATTACH]
20.12.2012, 20:28
Techno

[quote="Cepera;951472"]Почему-то у меня не загружается через "прислать запрошенный карантин" пишет "спасибо..." а на страницу не скидует.[/quote]
Просто карантин пустой...

В логах порядок, тему закрываем, если проблем больше нет.
20.12.2012, 21:15
Cepera

Про тулбар не знаю, но теперь и при заходе через ссылка Вебалта открывается... Ну мне не сложно закрыть, просто может что-то не так.
20.12.2012, 21:50
Techno

[quote="Cepera;951727"]при заходе через ссылка Вебалта открывается[/quote]
Во всех браузерах? Проверьте ярлыки браузеров, не прописалась ли она там...

Повторите лог hijackthis
21.12.2012, 10:24
Cepera

Вложений: 1

Нет, только в опере и гуглхром, в хромиуме и мозилла не высвечивается...
И в опере высвечивается и стартовая страница, и создаётся дополнительная вкладка с webalta.

[ATTACH]393323[/ATTACH]
21.12.2012, 23:21
thyrex

Проверьте ярлык запуска Опера на предмет "хвоста" после имени исполняемого файла
22.12.2012, 13:17
Cepera

Можете подсказать, как это сделать ?
23.12.2012, 10:21
Techno

Правой кнопкой по ярлыку-свойства-вкладка ярлык
23.12.2012, 15:20
Cepera

"C:\Program Files\opera.exe" [url]http://home.webalta.ru/?news[/url]
"C:\Program Files\Google\Chrome\Application\chrome.exe" [url]http://home.webalta.ru/?news[/url]

Как понимаю Webalta удалять ?
23.12.2012, 18:50
Cepera

"C:\Program Files\opera.exe" [url]http://home.webalta.ru/?news[/url]
"C:\Program Files\Google\Chrome\Application\chrome.exe" [url]http://home.webalta.ru/?news[/url]

Как понимаю, 2-ю часть нужно удалить ([url]http://home.webalta.ru/?news[/url]) ?
29.12.2012, 15:42
Cepera

Ну всё сделал, большое спасибо Вам и этому форуму!
Проблем больше нету.
29.12.2012, 21:07
thyrex

Смените все пароли
29.12.2012, 21:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]