троянская программа - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 15.05.2012

Размещено 15.05.2012 08:36:54

помогите!
Оперативная память = C:\Documents and Settings\Admin\Application Data\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Прикрепленные файлы

ARTEM1_2012-05-15_08-20-57.7z (137.26 КБ)

Сообщений: 5201

Баллов: 8330

Регистрация: 12.05.2010

Размещено 15.05.2012 09:49:42

Повторно запустите програму UVS и выберите Меню "Скрипт" - "выполнить скрипт находящийся в буфере обмена".
И вставьте текст скрипта:

Цитата
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE bl 6BFEBE23A0E8E19A12A4D8C5D133816A 114688 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delref HTTP://WEBALTA.RU/SEARCH delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr restart

Цитата

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
bl 6BFEBE23A0E8E19A12A4D8C5D133816A 114688
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delref HTTP://WEBALTA.RU/SEARCH
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart

И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес [email protected] с просьбой добавить файл в вирусную базу.

ESET Technical Support

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 15.05.2012 17:31:24

hitory

После выполнения первого скрипта - выполните скрипт №2*
Предназначенный для очистки браузеров !

*
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WEBALTA.RU/SEARCH delref HTTP://HOME.WEBALTA.RU delref HTTP://WWW.MAIL.RU/CNT/8746 bl 2B4E3BDFEA9CA721114F5EB41A575158 374344 zoo %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL deltmp delnfr restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://HOME.WEBALTA.RU
delref HTTP://WWW.MAIL.RU/CNT/8746
bl 2B4E3BDFEA9CA721114F5EB41A575158 374344
zoo %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL
delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL
deltmp
delnfr
restart

-------------
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.