Вирус-троян в оперативной памяти [Win32/SpyVoltar.A] - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2013

Размещено 30.01.2013 15:24:36

Здравствуйте, уважаемые хелперы. У меня проблема - обнаружен троян в оперативной памяти компьютера. Обнаружил его я случайно (ESET Smart Security выдал уведомление о вирусе) около недели назад. Произвел сканирование антивирусом, дабы еще раз убедиться в проблеме.
Итог: Оперативная память = C:\TEMP\lk7t61ei.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна.
Плюс ко всему, я заметил в диспетчере задач процесс с точно таким же именем - lk7t61ei.exe. Данный процесс "плодится" в списке процессов и забирает около 5-ти Мб памяти каждый. Порой, бывает, таких процессов до 20-ти, а то и до 30-ти штук насчитываю! Компьютер часто дает сбой и появляется "синий экран смерти" (BSoD).
В связи с этим прошу вашей помощи. Я так понял, скрипт-лог вы пишите для каждого случая индивидуально. Заранее спасибо.
Файл отчета с UVS внизу.

Прикрепленные файлы

HOME-C363F8A283_2013-01-30_17-08-47.rar (304.9 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 30.01.2013 15:43:28

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://DOSEARCH.RU setdns Подключение по локальной сети 3\4\{4670AA95-53E8-4421-9E5C-9A404B9562DB}\ zoo %SystemDrive%\TEMP\LK7T61EI.EXE czoo bl CBC12B2F811023F0315A937A7554F97E 121856 addsgn 1A1B629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 temp+.exe.Vir chklst delvir deltmp delnfr restart

Код

     


;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://DOSEARCH.RU
setdns Подключение по локальной сети 3\4\{4670AA95-53E8-4421-9E5C-9A404B9562DB}\
zoo %SystemDrive%\TEMP\LK7T61EI.EXE
czoo
bl CBC12B2F811023F0315A937A7554F97E 121856
addsgn 1A1B629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 temp+.exe.Vir

chklst
delvir
deltmp
delnfr
restart

-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Сообщений: 4

Баллов: 2

Регистрация: 30.01.2013

Размещено 30.01.2013 17:22:38

RP55 RP55,
Спасибо Вам большое за помощь. Трояна в оперативной памяти больше нет; процесс - lk7t61ei.exe в диспетчере задач так же более не наблюдался. Сканировал память антивирусом ESET Smart Security - оперативная память чиста! Все делал по Вашей инструкции, все получилось, за исключением последнего действия.
Во время быстрого сканирования программой Malwarebytes, произошла ошибка: "Malwarebytes Anti-Malware - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства." Закрыл все программы и запустил Malwarebytes и сканирование заново, но все повторилось. Однако, до того, как появилась ошибка, Malwarebytes успел найти какой-то вирус. Даже два (второй во время второй попытки сканирования). ESET их сразу же очистил удалением - изолировал. Запись из журнала ESET:

Код
30.01.2013 18:25:45 Защита в режиме реального времени файл C:\DOCUMENTS AND SETTINGS\HIGHWAY\LOCAL SETTINGS\TEMP\fla72.tmp Win32/Adware.Vapsup.AY приложение очищен удалением - изолирован HOME-C363F8A283\Sekko Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe. 30.01.2013 18:20:20 Защита в режиме реального времени файл C:\DOCUMENTS AND SETTINGS\HIGHWAY\APPLICATION DATA\archsoft\rubashka.css Win32/Hoax.ArchSMS.JU приложение очищен удалением - изолирован HOME-C363F8A283\Sekko Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

Код

30.01.2013 18:25:45   Защита в режиме реального времени   файл   C:\DOCUMENTS AND SETTINGS\HIGHWAY\LOCAL SETTINGS\TEMP\fla72.tmp   Win32/Adware.Vapsup.AY приложение   очищен удалением - изолирован   HOME-C363F8A283\Sekko   Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

30.01.2013 18:20:20   Защита в режиме реального времени   файл   C:\DOCUMENTS AND SETTINGS\HIGHWAY\APPLICATION DATA\archsoft\rubashka.css   Win32/Hoax.ArchSMS.JU приложение   очищен удалением - изолирован   HOME-C363F8A283\Sekko   Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.

На счет архива из папки uVS - я его отправил на указанный Вами почтовый ящик.

Изменено: ManWizz - 30.01.2013 17:23:49