Win32/SpyVoltar.A - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 04.07.2012

Размещено 04.07.2012 22:08:01

Здравствуйте! В браузерах ошибки и текстовые кракозябры. NOD32 сообщает, шо:
Объект:
Оперативная память=C:\Dоcuments and
Settings\Администратор\Application Data
\taskhost.exe
Угроза:
модифицированный Win32/SpyVoltar.A
троянская программа
Информация:
очистка невозможна

Прошу помощи.
С уважением.

Прикрепленные файлы

COMP_2012-07-04_20-42-07.rar (328.03 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 04.07.2012 22:37:47

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %Sys32%\KCMLCMA.DLL bl E09EC27A3DE9CF8608DE79672CDE3F80 43008 delref %Sys32%\KCMLCMA.DLL zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TASKHOST.EXE bl F01050CF004D80D5C65B017B10DCA114 126976 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TASKHOST.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NETPROTOCOL.EXE delref HTTP://SPEEDBAR.RU delref HTTP://START.TICNO.COM?KEY=5F982EDF-A84A-4D14-B46E-5BD4066E4ECC delref HTTP://WWW.MAIL.RU/CNT/9514 delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TABS.LNK exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL delall %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE regt 1 regt 2 regt 3 regt 12 regt 14 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %Sys32%\KCMLCMA.DLL
bl E09EC27A3DE9CF8608DE79672CDE3F80 43008
delref %Sys32%\KCMLCMA.DLL
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TASKHOST.EXE
bl F01050CF004D80D5C65B017B10DCA114 126976
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NETPROTOCOL.EXE
delref HTTP://SPEEDBAR.RU
delref HTTP://START.TICNO.COM?KEY=5F982EDF-A84A-4D14-B46E-5BD4066E4ECC
delref HTTP://WWW.MAIL.RU/CNT/9514
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TABS.LNK
exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
delall %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE
regt 1
regt 2
regt 3
regt 12
regt 14
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 1

Регистрация: 04.07.2012

Размещено 04.07.2012 23:31:44

Это снова я, но под другим логином. ZOO.rar отправил. Прикрепляю отчет MBAM (после которой вроде все затихло и нормализовалось).
В общем, премного благодарен.

Прикрепленные файлы

mbam-log-2012-07-04 (22-19-28).txt (3.66 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 04.07.2012 23:34:27

Удалить все записи в программе и перезагрузить ПК.

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

[ Закрыто ] Win32/SpyVoltar.A , Win32/SpyVoltar.A браузерам кранты(((