Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус в оперативной памяти Win32/Spatet.T , Win32/Spatet.T

1
RSS
 
Роман Б
Роман Б
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.11.2013
Размещено 09.11.2013 21:49:48
Добрый вечер. Пару дней назад обнаружился вирус. Зделал частично как всем рекомендуют. Вот лог проверки...
В прикрепленном файле образ автозапуска в uVS.
Жду Ваших советов. Спасибо!

Журнал проверки
Версия базы данных сигнатур вирусов: 9026 (20131109)
Дaтa: 09.11.2013  Время: 19:46:36
Просканированные диски, папки и файлы: Оперативная память
Оперативная память = win32.exe(2964) - модифицированный Win32/Spatet.T троянская программа - очищен удалением [1]
Оперативная память = win32.exe(2964) - модифицированный Win32/Spatet.T троянская программа - очищен удалением [1]
Оперативная память = win32.exe(2964) - модифицированный Win32/Spatet.T троянская программа - очищен удалением [1]
Оперативная память = win32.exe(2964) - модифицированный Win32/Spatet.T троянская программа - очищен удалением [1]
Оперативная память = C:\Windows\System32\install\win32.exe = ENIGMA = mainBinary.exe - архив поврежден
Оперативная память = \\?\E:\ПРОГИ\ПРОТИВОВИРУС\syetso - Ошибка открытия  [4]
Количество просканированных объектов: 844
Количество обнаруженных угроз: 4
Количество очищенных объектов: 4
Время выполнения: 19:46:44  Общее время проверки: 8 сек. (00:00:08)

Примечания:
[1] Объект был удален, так как содержал только тело вируса.
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.11.2013 21:55:13
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn 1A8D779A5583358CF42BC6D1DF8C1261DABFFCF689FA943CA1D34CD074C6FC200707E8B76D03CAE8E7EEC29F7753B5C9B88F6117BD25C5D4A63258E882FADC8C 8 PCK/Enigma

zoo %Sys32%\INSTALL\WIN32.EXE

bl 335B22433736124CDFA7C10D4262A9C2 1543680
;------------------------autoscript---------------------------

chklst
delvir

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Роман Б
Роман Б
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.11.2013
Размещено 09.11.2013 22:38:12
Архив из каталога uVS отправил Вам на почту...
Проверка малваребайт показала следующий результат...
Нод при сканировании оперативн.памяти опять так же ругается..
Изменено: Роман Б - 09.11.2013 22:40:58
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.11.2013 23:19:35
удалите найденное в мбам,

перегрузите систему,

добавьте
1. новый образ автозапуска.

2. лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

3. лог выполнения скрипта.
файл с именем дата_времяlog.txt из папки с uVS
Изменено: santy - 09.11.2013 23:20:36
[ Как создать образ автозапуска? ]
 
Роман Б
Роман Б
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.11.2013
Размещено 10.11.2013 00:42:24
Спасибо за оперативность...всё делаю...
Вот:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2013 05:53:02
Цитата
09.11.2013 21:47:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = launcher.exe(2976) модифицированный Win32/Spatet.T троянская программа очищен удалением
09.11.2013 21:47:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = launcher.exe(2976) модифицированный Win32/Spatet.T троянская программа очищен удалением
09.11.2013 21:47:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = launcher.exe(2976) модифицированный Win32/Spatet.T троянская программа очищен удалением

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %Sys32%\INSTALL\WIN32.EXE
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

1. добавьте новый лог журнала обнаружение угроз

2. просканируйте в ESET NOD32 только оперативную память, и добавьте результат сканирования.

если проблема решилась,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
Роман Б
Роман Б
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 09.11.2013
Размещено 10.11.2013 12:02:26
Сделал, спасибо santy Вам за Ваши усилия и оказанную помощь!!!!!!!!!!!!!!
Проверка памяти закончилась положительным результатом!
Журнал проверки
Версия базы данных сигнатур вирусов: 9027 (20131109)
Дaтa: 10.11.2013  Время: 10:00:00
Просканированные диски, папки и файлы: Оперативная память
Количество просканированных объектов: 795
Количество обнаруженных угроз: 0
Время выполнения: 10:00:01  Общее время проверки: 1 сек. (00:00:01)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2013 14:26:36
да, судя по журналу, новых обнаруженных угроз не добавилось...

закрываю тему.
[ Как создать образ автозапуска? ]
 
1
Читают тему