win32/spy.spyeye - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2012

Размещено 30.01.2012 13:42:29

Создал файл с помощью uVS v3

Прикрепленные файлы

SANTIK_2012-01-30_13-04-21.7z (173.99 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 30.01.2012 14:31:21

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE addsgn A7679BF0AA026CF34BD4C6D113881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB6FD9FE82BD6D780BC6D775BACCA32B233 8 Trojan.PWS.SpySweep.302 [DrWeb] zoo %SystemRoot%\WEWFS.SYS addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C360593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32] bl EBC924FBCA085BC56B855884DA818716 44544 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\APPLICATION DATA\NETPROTOCOL.EXE addsgn A7679B1BB9864C720BBEC85969DE1205A64EF89C7490D41205A9D9548AC1714CA0D3D3040D8E24E12B8084F5787CB89074B5B39A93FAB02CAEB3B445386C1119 8 a variant of Win32/Kryptik.ZPA [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE bl 0EA439BAF48D699A4242558EEFCE7FC1 174592 delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE delref HTTP://SEARCH.BABYLON.COM/?BABSRC=NT_SS&MNTRID=382EDBAE00000000000000235474F057&TLVER=1.4.19.19&AFFID=17160 deltmp delnfr sreg delref %SystemRoot%\WEWFS.SYS areg

Код


;uVS v3.73.2 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE
addsgn A7679BF0AA026CF34BD4C6D113881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB6FD9FE82BD6D780BC6D775BACCA32B233 8 Trojan.PWS.SpySweep.302 [DrWeb]

zoo %SystemRoot%\WEWFS.SYS
addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C360593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32]

bl EBC924FBCA085BC56B855884DA818716 44544
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\APPLICATION DATA\NETPROTOCOL.EXE
addsgn A7679B1BB9864C720BBEC85969DE1205A64EF89C7490D41205A9D9548AC1714CA0D3D3040D8E24E12B8084F5787CB89074B5B39A93FAB02CAEB3B445386C1119 8 a variant of Win32/Kryptik.ZPA [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE
bl 0EA439BAF48D699A4242558EEFCE7FC1 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=NT_SS&MNTRID=382EDBAE00000000000000235474F057&TLVER=1.4.19.19&AFFID=17160
deltmp
delnfr
sreg
delref %SystemRoot%\WEWFS.SYS
areg

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2012

Размещено 30.01.2012 15:17:42

Выполнил скрипт предварительно закрыв браузер. Рестарт комп. Далее проверяю нодом.
Он все там же на том же месте
Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Цитата
santy пишет: архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)

такого неоюнаружил в распакованном архиве UVS.

Есть папка ZOO. В ней файлы с разрешением txt., и exe. Пример: WEWFS.SYS._9566A3E4A4DE12E52738D9844B0D1FDC9D336DBF.txt
LRO7IDWFTOK.EXE._73375648590E6C05CBFDEF22EC4A0DF092ED0245.txt
Это их в архив и отправить?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 30.01.2012 15:20:31

Цитата
Odin пишет: Это их в архив и отправить?

Да - их !
+
Повторно создайте образ в uVS.

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2012

Размещено 30.01.2012 15:47:01

Цитата
santy пишет: архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту [email protected], [email protected]

Отправил на оба адреса на всякий случай.

Вот новый образ автозапуска

Прикрепленные файлы

SANTIK_2012-01-30_15-33-47.7z (175.12 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 30.01.2012 15:51:16

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE bl B5B5D11A6D2FD7C656E46A0511536B9A 333824 addsgn A7679BF0AA02AC024AD4C64952891261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13F0C59F75C4C32EF4CA9CE414DA3BE4AC965B2FC706AB7E 8 Spy.SpyEye zoo %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73.2 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
bl B5B5D11A6D2FD7C656E46A0511536B9A 333824
addsgn A7679BF0AA02AC024AD4C64952891261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13F0C59F75C4C32EF4CA9CE414DA3BE4AC965B2FC706AB7E 8 Spy.SpyEye

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 30.01.2012 15:54:17

далее,
сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2012

Размещено 30.01.2012 16:33:11

Спасибо большое. Эта тварь сдохла.)

проверил в малваребайт отчет сохранил

нашел какие то штуки. Просто удалить их? Ничего страшного?

Прикрепленные файлы

mbam-log-2012-01-30 (16-27-51).txt (2.98 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 30.01.2012 16:35:17

удалить все найденное в МБАМ, кроме

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполнить наши рекомендации по безопасной работе в сети

[ Как создать образ автозапуска? ]

[ Закрыто ] win32/spy.spyeye , Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна