Win32/Vools.C - Форум технической поддержки ESET NOD32

Размещено 25.12.2018 18:07:58

Доброго времени суток!
Несколько дней установленный ESET Remote Administrator выдает вот такое:

Имя колонки ЗначениеИдентификатор угрозы Угроза 20294
Имя клиента O0005
Имя компьютера O0005
MAC-адрес
Основной сервер
Дата получения 2018-12-25 16:25:11
Дата события 2018-12-25 16:24:43
Уровень Предупреждение
Модуль сканирования Защита в режиме реального времени
Объект файл
Имя C:\Windows\system32\snmpstorsrv.dll
Угроза модифицированный Win32/Vools.C троянская программа
Действие очищен удалением
Пользователь NT AUTHORITY\система
Информация Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (2A17507A180F5809155C5F113CB255C9F418829E).

Прикрепленные файлы

2018-12-25_18-03-56.png (29.61 КБ)

Размещено 27.12.2018 19:37:05

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE delref F:\SVETEJEBLO\\\ZELJKO.EXE delref RZZBIJ.EXE delref F:\UXCVPY.EXE delref F:\XXLGJV.EXE delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE delref F:\WNDIFW.EXE delref F:\RZZBIJ.EXE delref JNPFMF.EXE delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE delref F:\CACHE\TMP983.EXE delref H:\VIRUPDATE.CMD delref F:\WINDOWS\USBV.EXE apply deltmp delref {426F6A6F-FEF8-4A5B-8DDC-099E7499EF50}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT delref %Sys32%\BLANK.HTM delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref DRWEBENGINE\[SERVICE] delref VDS\[SERVICE] delref %SystemRoot%\TEMP\70C0C19CA.SYS delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %Sys32%\MACROMED\FLASH\FLASH9C.OCX delref %Sys32%\EAPA3HST.DLL delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PAPRPORT.EXE delref %Sys32%\EAPAHOST.DLL delref %SystemDrive%\PROGRA~1\NUANCE\PAPERP~1\PAPRPORT.EXE delref F:\SVETEJEBLO\ZELJKO.EXE delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID] delref {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\[CLSID] delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PPSCHEDULER.EXE delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE delref %SystemDrive%\PROGRAM FILES\DRWEB ENTERPRISE SUITE\DWSCANNER.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\SVETEJEBLO\\\ZELJKO.EXE
delref RZZBIJ.EXE
delref F:\UXCVPY.EXE
delref F:\XXLGJV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref F:\WNDIFW.EXE
delref F:\RZZBIJ.EXE
delref JNPFMF.EXE
delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\CACHE\TMP983.EXE
delref H:\VIRUPDATE.CMD
delref F:\WINDOWS\USBV.EXE
apply

deltmp
delref {426F6A6F-FEF8-4A5B-8DDC-099E7499EF50}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref DRWEBENGINE\[SERVICE]
delref VDS\[SERVICE]
delref %SystemRoot%\TEMP\70C0C19CA.SYS
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\MACROMED\FLASH\FLASH9C.OCX
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PAPRPORT.EXE
delref %Sys32%\EAPAHOST.DLL
delref %SystemDrive%\PROGRA~1\NUANCE\PAPERP~1\PAPRPORT.EXE
delref F:\SVETEJEBLO\ZELJKO.EXE
delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID]
delref {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PPSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\DRWEB ENTERPRISE SUITE\DWSCANNER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

[ Закрыто ] Win32/Vools.C , обнаружен вирус, не очищает

Ответы