Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] SpyVoltar.A-DMS0K1.EXE , вирус в оперативной памяти

1
RSS
 
gunner
gunner
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.12.2012
Размещено 18.12.2012 16:10:25
Здравствуйте!
NOD обнаружил файл DMS0K1.EXE, идентифицировал как 'троян', но удалить не может.
Оперативная память = C:\Users\ПК\AppData\Roaming\dms0k1.exe
Он постоянно орудует в браузере Opera. Помогите, пожалуйста!

Образ uvs в безопасном режиме:
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.12.2012 16:25:27
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo C:\Users\ПК\AppData\Roaming\dms0k1.exe 
delall C:\Users\ПК\AppData\Roaming\dms0k1.exe 
regt 3
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
gunner
gunner
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.12.2012
Размещено 18.12.2012 17:04:47
Спосибо за помощь. Все сделал по Вашей инструкции.

Отчет MBAM:
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.12.2012 17:05:25
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/
 
gunner
gunner
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.12.2012
Размещено 18.12.2012 17:38:14
Рекомендации уже выполняю. Вирус исчез, переадреcация на другие сайты закончилась, стартовая страница не меняется, но остался один рецидив. После закрытия браузера Opera все открытые страницы исчезают. Не подскажите как это исправить. Спасибо!
Изменено: gunner - 18.12.2012 17:41:17 (ошибки)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.12.2012 18:03:39
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://MAILRUSEARCH.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 18.12.2012 18:06:01
[ Как создать образ автозапуска? ]
 
gunner
gunner
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.12.2012
Размещено 18.12.2012 20:16:57
Сделал все как Вы сказали. Проблема одна - после закрытия браузера Opera, все открытые раньше страницы исчезают. Открывая Operу, приходится вновь искать и открывать нужные страницы. До вируса такого не было - на какой странице закрыл с такой и начал. Может просто настройки в Ореre слетели...

лог журнала обнаружения угроз:
Изменено: gunner - 18.12.2012 20:18:18
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.12.2012 20:20:30
Смотрите настройки браузера, точнее действие при запуске браузера на вкладке Основные.
 
gunner
gunner
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.12.2012
Размещено 18.12.2012 20:44:25
Спасибо большое, ребята! Проблема решена.
 
1
Читают тему