Win32/SpyVoltar.A - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 24.11.2012

Размещено 24.11.2012 19:11:31

Доброго времени суток. Возникла следующая проблема:

"Оперативная память = C:\Users\User\AppData\Roaming\ccte1tu.exe модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна"

Прилагаю образ автозапуска в uVS, сделанный в безопасном режиме (при обычной загрузке система виснет).

Прикрепленные файлы

QCDJLE3C5566REP_2012-11-24_21-06-49.rar (433.63 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2012 19:20:28

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl E401DB6F1CECC929EB5EEF7D2FA34CAD 1472720 addsgn 1A0DBA9A5583358CF42B627DA8A082B96E8A9809BCFA1F7885488198405F1D68339AAF732E7E7D1A7DD72527AA4649CB3823DBB70553D5C4D2025CA482FAE536 8 GuardMail bl 7172BD23AE4926DB7C28084862FA5BC4 190336 addsgn 9252779A106AC1CC0BC4554EA34F8E25238AA65AD3F548FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QIP bl 102350E7DCD3B541E4D61410AA4BD5F7 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl B6EC5016D5701B94271337CA3998D7D3 163840 addsgn 1AB7749A5583798FF42B5194A0E852054D57EAB6899EE04D85C3C5BCDB92555CAA7BE747B339B9590060D7C911B71DA53CDFD937A9E9757CA4124CD0B2FEA936 8 Dorkobe bl 9C9098BE9018E4388D8A0664FDC8BE16 122368 addsgn 1A37339A5583C58CF42B254E3143FE8E608276BB99A9492FB63C4CC4545D344410CC4A2F36DED8416809FC93B0D7598E7054AD7A5C82B4EB68672B2FC7C6D4B2 8 Zbot bl B5E9118564DE4DFF41D4A9E3ABA1E4E1 141184 addsgn 79132211B9E9317E0AA1AB59B4921205DAFFF47DC4EA942D892B2942AF292811E11BC33FCEA59D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPBar adddir %SystemDrive%\USERS\USER adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CCTE1TU.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\4C83F0\4C83F0.EXE chklst delvir deltmp delnfr delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TASKBAR ELIMINATOR.LNK delref HTTP://EIS.ESNIPS.COM/PAGE/SEARCH/?CLIENT_UUID=BDA82AC0-85C3-4B48-B0D2-41FDE8D1391D delref HTTP://FASTWEBALTA.RU/ delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl E401DB6F1CECC929EB5EEF7D2FA34CAD 1472720
addsgn 1A0DBA9A5583358CF42B627DA8A082B96E8A9809BCFA1F7885488198405F1D68339AAF732E7E7D1A7DD72527AA4649CB3823DBB70553D5C4D2025CA482FAE536 8 GuardMail
bl 7172BD23AE4926DB7C28084862FA5BC4 190336
addsgn 9252779A106AC1CC0BC4554EA34F8E25238AA65AD3F548FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QIP
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl B6EC5016D5701B94271337CA3998D7D3 163840
addsgn 1AB7749A5583798FF42B5194A0E852054D57EAB6899EE04D85C3C5BCDB92555CAA7BE747B339B9590060D7C911B71DA53CDFD937A9E9757CA4124CD0B2FEA936 8 Dorkobe
bl 9C9098BE9018E4388D8A0664FDC8BE16 122368
addsgn 1A37339A5583C58CF42B254E3143FE8E608276BB99A9492FB63C4CC4545D344410CC4A2F36DED8416809FC93B0D7598E7054AD7A5C82B4EB68672B2FC7C6D4B2 8 Zbot
bl B5E9118564DE4DFF41D4A9E3ABA1E4E1 141184
addsgn 79132211B9E9317E0AA1AB59B4921205DAFFF47DC4EA942D892B2942AF292811E11BC33FCEA59D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPBar
adddir %SystemDrive%\USERS\USER
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CCTE1TU.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\4C83F0\4C83F0.EXE
chklst
delvir
deltmp
delnfr
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TASKBAR ELIMINATOR.LNK
delref HTTP://EIS.ESNIPS.COM/PAGE/SEARCH/?CLIENT_UUID=BDA82AC0-85C3-4B48-B0D2-41FDE8D1391D
delref HTTP://FASTWEBALTA.RU/
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 2

Баллов: 1

Регистрация: 24.11.2012

Размещено 24.11.2012 20:23:46

Большое спасибо за помощь! Архив с вирусами выслал на указанный ящик. Прилагаю лог Mbam.

Прикрепленные файлы

mbam-log-2012-11-24 (22-19-37).txt (2.5 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 24.11.2012 20:49:22

В Malwarebytes - удалите найденное.

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверку на программные уязвимости браузеров.
http://www.surfpatrol.ru/

[ Закрыто ] Win32/SpyVoltar.A