Spy.SpyEye.CA в оперативной памяти - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 14.03.2012

Размещено 14.03.2012 21:15:18

Проник вирус в оперативную память. Как удалить?

Цитата
Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(972) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна MICROSOF-53FBBA\Admin

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.03.2012 21:18:13

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 14.03.2012

Размещено 14.03.2012 22:17:51

Надеюсь, что все правильно.

Прикрепленные файлы

MICROSOF-53FBBA_2012-03-14_22-12-25.7z (161.9 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.03.2012 23:19:58

AnnM

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\SYSTEMHOST\24FC2AE3B72.EXE bl ED8277D7D0A62A61075C4DE2C2570AF9 332800 addsgn 988C1F92242A4C9A0DCEAEB1DB5C120525013B1EDBE01F780CA62D37A45F4F1ADC02F7277E5516073B098913E65649713BDB4BEAF59AB0A77B7F2D3A5BA66273 8 24FC2AE3B72.EXE - Spy.SpyEye.CA delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3B72.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3B72.EXE
bl ED8277D7D0A62A61075C4DE2C2570AF9 332800
addsgn 988C1F92242A4C9A0DCEAEB1DB5C120525013B1EDBE01F780CA62D37A45F4F1ADC02F7277E5516073B098913E65649713BDB4BEAF59AB0A77B7F2D3A5BA66273 8 24FC2AE3B72.EXE - Spy.SpyEye.CA 

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3B72.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Сообщений: 5

Баллов: 2

Регистрация: 14.03.2012

Размещено 15.03.2012 20:45:18

Спасибо! Все получилось.

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 15.03.2012 20:48:15

далее, нужен лог малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 14.03.2012

Размещено 16.03.2012 22:35:55

На втором компьютере,на ноуте, появился этот же вирус..(( Все повторить надо?

Прикрепленные файлы

MICROSOF-9DD628_2012-03-16_22-24-39.7z (135 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.03.2012 22:42:00

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\SYSTEMHOST\24FC2AE34EE.EXE bl CBC11DE52DF6639008DE2CCC3D14E0B3 327680 addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E9FF51F780CA62D37A45F4F1ADC02F3377E5516073B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A9B966273 8 Win32/Spy.SpyEye.CA delall %SystemDrive%\SYSTEMHOST\24FC2AE34EE.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\SYSTEMHOST\24FC2AE34EE.EXE
bl CBC11DE52DF6639008DE2CCC3D14E0B3 327680
addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E9FF51F780CA62D37A45F4F1ADC02F3377E5516073B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A9B966273 8 Win32/Spy.SpyEye.CA

delall %SystemDrive%\SYSTEMHOST\24FC2AE34EE.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Сообщений: 5

Баллов: 2

Регистрация: 14.03.2012

Размещено 16.03.2012 23:40:48

Спасибо. Все чисто.

Прикрепленные файлы

mbam-log-2012-03-16 (23-29-16).txt (2.11 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.03.2012 23:44:13

AnnM

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
+
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

[ Закрыто ] Spy.SpyEye.CA в оперативной памяти , как удалить вирус Spy.SpyEye.CA из оперативной памяти?