Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите, пожалуйста, убрать Win32/SpyVoltar.A. , При сканировании обнаружен модифицированный Win32/SpyVoltar.A.

1
RSS
 
Sergej.Repin
Sergej.Repin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.10.2012
Размещено 07.10.2012 03:11:12
Здравствуйте!
Помогите, пожалуйста, убрать Win32/SpyVoltar.A. Не помог ни НОД ни Доктор Веб.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.10.2012 05:53:24
http://forum.esetnod32.ru/forum9/topic2687/
 
Sergej.Repin
Sergej.Repin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.10.2012
Размещено 07.10.2012 23:11:14
Попробую.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 07.10.2012 23:27:20
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\TASKHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PJJNRKPKXYK.EXE
addsgn 1A2F6B9A55835B8CF42BFB3A8899435673B90A7BCC06594B5E934CC9A85F2CB0CB4C38A8C1D6E0B52ED9FA9BCDD0A2B82A8C1767715AF02CA607982C37601B2D 8 TASKHOST.EXE.Vir

addsgn A7679B1BB97248720B822584280352054F8A71736101E087D5048050EE29AEF149170412CAE86296967F52A230933FFE7259EF7255DA83ECC4D8A52FC751A94E 8 Carb.exe.Vir

bl 85402DFB06EB180C6DB1167ABC7EDCB2 135168
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\TASKHOST.EXE
bl BDC3EC2C336B4212B2E8CDD6FB7B8651 203776
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PJJNRKPKXYK.EXE
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
chklst
delvir
deltmp
delnfr
regt 1
regt 2
regt 3
regt 12
regt 18
czoo
restart


-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
 
Sergej.Repin
Sergej.Repin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.10.2012
Размещено 08.10.2012 00:24:06
А как предоставить отчёт? Просто скопировать и прикрепить файл?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 08.10.2012 00:25:31
Цитата
Sergej.Repin пишет:
А как предоставить отчёт? Просто скопировать и прикрепить файл?
Да.
 
Sergej.Repin
Sergej.Repin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.10.2012
Размещено 08.10.2012 00:33:18
Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 181166
Времени прошло: 1 минут , 39 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 1
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.

(конец)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 08.10.2012 00:39:21
Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Malwarebytes - удалите.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.10.2012 00:56:40
Sergej.Repin,
удалять ничего в логе не нужно. Mbam только удалите.
Правильно заданный вопрос - это уже половина ответа
 
Sergej.Repin
Sergej.Repin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 07.10.2012
Размещено 08.10.2012 00:57:54
Спасибо большое, всё чисто!
 
1
Читают тему