Вирусы в оперативной памяти + ошибка обновления.

Сообщений: 2

Баллов: 1

Регистрация: 18.01.2012

Размещено 03.06.2012 23:47:54

Здравствуйте, возникли проблемы при обновлении вылетает ошибка - создание временного файла.

А так же два вируса в опер.памяти
Логи:
03.06.2012 23:42:18 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Documents and Settings\admin\Application Data\netprotocol.exe модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна HEAD_PC\admin
03.06.2012 23:42:16 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2144) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна HEAD_PC\admin
---
Еще два лога, после создания образа для оправки.

03.06.2012 23:43:02 Защита в режиме реального времени файл C:\WINDOWS\WEINO.SYS Win32/Qhost.OPL троянская программа очищен удалением - изолирован HEAD_PC\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Documents and Settings\admin\Рабочий стол\uvs_v375\wbfzql.
03.06.2012 23:43:02 Защита в режиме реального времени файл C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\UVS_V375\TEST Win32/Qhost.OPL троянская программа очищен удалением - изолирован HEAD_PC\admin Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\admin\Рабочий стол\uvs_v375\wbfzql.

Прикрепленные файлы

HEAD_PC_2012-06-03_23-41-44.7z (165.14 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 05:50:44

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp bl E43C0ECBCD06C13A842F25EEC0D01835 175616 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE addsgn A7679B19B9127FA0080627E4C09B3B5081DC77E39DE35D780E19EE667305F819874048129AEBBE502B802DFA4616498E4A54A5D67E1433D5AA0389A492A20B3E 8 a variant of Win32/Kryptik.AFYE [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE bl 719354B4B7B182B30E1DE8CE7B417D2F 132096 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE addsgn 1ABE609A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Spy.Voltar.0604 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr zoo %SystemRoot%\WEINO.SYS czoo sreg delref %SystemRoot%\WEINO.SYS areg

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE
addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp
bl E43C0ECBCD06C13A842F25EEC0D01835 175616
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE
addsgn A7679B19B9127FA0080627E4C09B3B5081DC77E39DE35D780E19EE667305F819874048129AEBBE502B802DFA4616498E4A54A5D67E1433D5AA0389A492A20B3E 8 a variant of Win32/Kryptik.AFYE [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE
bl 719354B4B7B182B30E1DE8CE7B417D2F 132096
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE
addsgn 1ABE609A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Spy.Voltar.0604
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
zoo %SystemRoot%\WEINO.SYS
czoo
sreg
delref %SystemRoot%\WEINO.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 04.06.2012 10:16:15

[ Как создать образ автозапуска? ]