Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна (заявка № 128802)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16

    модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна

    Доброй ночи!

    ПК стал глючить: сбился DNS, перестали грузиться картинки на некоторых сайтах, срашно тормозит Опера, в Експлоер не выполняются клики и т.д. запустил ENOD на сканирование.
    ENOD выдал следующие:

    15.12.201223:19:00 Модуль сканированияфайлов, исполняемых при запуске системы файл Оперативная память = C:\Documents andSettings\Admin\Application Data\wxuaex8.exe модифицированныйWin32/SpyVoltar.A троянская программа очистканевозможна

    Проделал операции, изложенные в правилах. Результатом стал этот запрос.

    Прошу помочь.

    С уважением, Юрий
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,271
    Вес репутации
    332
    Уважаемый(ая) Lapsi, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,729
    Вес репутации
    913
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\documents and settings\admin\application data\wxuaex8.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\ulqdnri.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\6AAFB466300.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rp0c');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
     DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2','*',true);
     DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\ulqdnri.dll');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,3,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

  5. #4
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Новые файлы
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,729
    Вес репутации
    913
    Что с проблемой?

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Основные проблемы исчезли. ЕНОД 32 и Dr.Web-CureIt не находят трояна.
    Из субъективных факторов: подтормаживает ОПЕРА 12.11 и в моменты торможения жрет до 300 метров памяти.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,954
    Вес репутации
    2965
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Вот необходимый лог

    - - - Добавлено - - -

    Цитата Сообщение от Lapsi Посмотреть сообщение
    Вот необходимый лог

    Уважаемые Хелперы!

    Также в течение дня пропала загрузка картинок " В КОНТАКТЕ". На ряд сайтов не зайти пишет: "Невозможно найти удалённый сервер".

    Юрий
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,954
    Вес репутации
    2965
    Удалите в МВАМ только указанные строки
    Код:
    Обнаруженные ключи в реестре:  6
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: COMPI_7875768FB054399B -> Действие не было предпринято.
    
    Обнаруженные папки:  2
    C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
    
    Обнаруженные файлы:  24
    C:\Documents and Settings\Admin\Application Data\198.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Добрый вечер!

    Вот новыйлог после удаления:
    Вложения Вложения

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    С помощью МВАМ ??

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Еще раз добрый вечер!

    Вот лог:
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,126
    Вес репутации
    721
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?

  17. #16
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    приветствую!

    Получилось вот что:

    Старые проблемы исчезли.
    Слегка подтормаживат при открытии папок, слегка подтормаживает при этом в виде замедленного обновления экрана.

    Что делать дальше?
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,126
    Вес репутации
    721
    - Установите эти обновления.

    - Очистите компьютер от мусора, как написано здесь.

    - Сделайте дефрагментацию диска.

    - - - Добавлено - - -

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Доброй ночи!

    Яву обновил. Удалил КвикТайм.
    Почистился от мусора первой утилитой.

    Дефрагментация - это до утра...

    Пока подтормаживает, как будто видео-карта тормозит.. Хотя я могу ошибаться.

    Вот лог AdwCleaner[R1].txt.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,126
    Вес репутации
    721
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

  21. #20
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    16
    Доброй ночи!
    Вот что получилось:
    Вложения Вложения

  • Уважаемый(ая) Lapsi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 06.08.2012, 12:29
    2. Ответов: 2
      Последнее сообщение: 17.07.2012, 08:28
    3. Ответов: 3
      Последнее сообщение: 02.07.2012, 18:53
    4. Ответов: 3
      Последнее сообщение: 01.07.2012, 19:07
    5. Ответов: 2
      Последнее сообщение: 10.06.2012, 12:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01099 seconds with 18 queries