Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/Spy.SpyEye.CA , троянская программа очистка невозможна

1
RSS
 
Darksoul
Darksoul
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 08.11.2012
Размещено 23.01.2013 16:25:08
Здравствуйте,
антивирус Eset Nod32 обнаружил вирус, текст из журнала:
"Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(612) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна."
Прошу помощи в устранении проблемы.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.01.2013 16:30:06
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\SYSTEMHOST\24FC2AE39D4.EXE
; C:\SYSTEMHOST\24FC2AE39D4.EXE
bl FD3D9ADBA5B8B82610EFE57AA02A470C 323584
delall %SystemDrive%\SYSTEMHOST\24FC2AE39D4.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
regt 3
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Darksoul
Darksoul
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 08.11.2012
Размещено 23.01.2013 16:57:40
Архив отправлен. Лог прилагаю. Еще 1 вопрос, пожалуйста:
По мимо сообщения о вирусе  Win32/Spy.SpyEye.CA нод показывал окна о заблокированных страницах (ссылках), связано ли это с вирусом Spy или это нечто иное?
Благодарю.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.01.2013 17:38:32
связано.

Цитата
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:

Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык

по логу мбам,
удалите следующие объекты
Цитата
Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F2EXHZG2ZBMX (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE39D4.exe -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 23.01.2013 17:40:54
[ Как создать образ автозапуска? ]
 
1
Читают тему