Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна (заявка № 128802)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19

    модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна

    Доброй ночи!

    ПК стал глючить: сбился DNS, перестали грузиться картинки на некоторых сайтах, срашно тормозит Опера, в Експлоер не выполняются клики и т.д. запустил ENOD на сканирование.
    ENOD выдал следующие:

    15.12.201223:19:00 Модуль сканированияфайлов, исполняемых при запуске системы файл Оперативная память = C:\Documents andSettings\Admin\Application Data\wxuaex8.exe модифицированныйWin32/SpyVoltar.A троянская программа очистканевозможна

    Проделал операции, изложенные в правилах. Результатом стал этот запрос.

    Прошу помочь.

    С уважением, Юрий
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Lapsi, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,137
    Вес репутации
    929
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\documents and settings\admin\application data\wxuaex8.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\ulqdnri.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\6AAFB466300.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\wxuaex8.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rp0c');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
     DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2','*',true);
     DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\ulqdnri.dll');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,3,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

    Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

  5. #4
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Новые файлы
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,137
    Вес репутации
    929
    Что с проблемой?

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Основные проблемы исчезли. ЕНОД 32 и Dr.Web-CureIt не находят трояна.
    Из субъективных факторов: подтормаживает ОПЕРА 12.11 и в моменты торможения жрет до 300 метров памяти.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3021
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Вот необходимый лог

    - - - Добавлено - - -

    Цитата Сообщение от Lapsi Посмотреть сообщение
    Вот необходимый лог

    Уважаемые Хелперы!

    Также в течение дня пропала загрузка картинок " В КОНТАКТЕ". На ряд сайтов не зайти пишет: "Невозможно найти удалённый сервер".

    Юрий
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3021
    Удалите в МВАМ только указанные строки
    Код:
    Обнаруженные ключи в реестре:  6
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: COMPI_7875768FB054399B -> Действие не было предпринято.
    
    Обнаруженные папки:  2
    C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
    
    Обнаруженные файлы:  24
    C:\Documents and Settings\Admin\Application Data\198.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Действие не было предпринято.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Добрый вечер!

    Вот новыйлог после удаления:
    Вложения Вложения

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    С помощью МВАМ ??

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Еще раз добрый вечер!

    Вот лог:
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?

  17. #16
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    приветствую!

    Получилось вот что:

    Старые проблемы исчезли.
    Слегка подтормаживат при открытии папок, слегка подтормаживает при этом в виде замедленного обновления экрана.

    Что делать дальше?
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    - Установите эти обновления.

    - Очистите компьютер от мусора, как написано здесь.

    - Сделайте дефрагментацию диска.

    - - - Добавлено - - -

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Доброй ночи!

    Яву обновил. Удалил КвикТайм.
    Почистился от мусора первой утилитой.

    Дефрагментация - это до утра...

    Пока подтормаживает, как будто видео-карта тормозит.. Хотя я могу ошибаться.

    Вот лог AdwCleaner[R1].txt.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

  21. #20
    Junior Member Репутация
    Регистрация
    15.12.2012
    Сообщений
    11
    Вес репутации
    19
    Доброй ночи!
    Вот что получилось:
    Вложения Вложения

  • Уважаемый(ая) Lapsi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 06.08.2012, 11:29
    2. Ответов: 2
      Последнее сообщение: 17.07.2012, 07:28
    3. Ответов: 3
      Последнее сообщение: 02.07.2012, 17:53
    4. Ответов: 3
      Последнее сообщение: 01.07.2012, 18:07
    5. Ответов: 2
      Последнее сообщение: 10.06.2012, 11:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01127 seconds with 17 queries