[ Закрыто ] Win32/Vools.C , обнаружен вирус, не очищает

RSS
Доброго времени суток!
Несколько дней установленный ESET Remote Administrator выдает вот такое:


Имя колонки    ЗначениеИдентификатор угрозы    Угроза 20294
Имя клиента    O0005
Имя компьютера    O0005
MAC-адрес    
Основной сервер    
Дата получения    2018-12-25 16:25:11
Дата события    2018-12-25 16:24:43
Уровень    Предупреждение
Модуль сканирования    Защита в режиме реального времени
Объект    файл
Имя    C:\Windows\system32\snmpstorsrv.dll
Угроза    модифицированный Win32/Vools.C троянская программа
Действие    очищен удалением
Пользователь    NT AUTHORITY\система
Информация    Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (2A17507A180F5809155C5F113CB255C9F418829E).

Ответы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\SVETEJEBLO\\\ZELJKO.EXE
delref RZZBIJ.EXE
delref F:\UXCVPY.EXE
delref F:\XXLGJV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref F:\WNDIFW.EXE
delref F:\RZZBIJ.EXE
delref JNPFMF.EXE
delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\CACHE\TMP983.EXE
delref H:\VIRUPDATE.CMD
delref F:\WINDOWS\USBV.EXE
apply

deltmp
delref {426F6A6F-FEF8-4A5B-8DDC-099E7499EF50}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref DRWEBENGINE\[SERVICE]
delref VDS\[SERVICE]
delref %SystemRoot%\TEMP\70C0C19CA.SYS
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\MACROMED\FLASH\FLASH9C.OCX
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PAPRPORT.EXE
delref %Sys32%\EAPAHOST.DLL
delref %SystemDrive%\PROGRA~1\NUANCE\PAPERP~1\PAPRPORT.EXE
delref F:\SVETEJEBLO\ZELJKO.EXE
delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID]
delref {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PPSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\DRWEB ENTERPRISE SUITE\DWSCANNER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Всем спасибо за участие. Проблема решена очисткой скриптами uVS и установкой патчей.
Читают тему (гостей: 1)