Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Spy.Agent.OEI , Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти

1 2 3 4 След.
RSS
 
Виталий Цесарский
Виталий Цесарский
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.07.2013
Размещено 21.07.2013 05:48:53
Как удалить Win32/Spy.Agent.OEI, ESS выдает, что сидит в оперативной памяти и ничего не делает
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.07.2013 07:20:47
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn A7679B65403EAC320B77A04F24C8ED001D77BCF661AB0178854E764950D671C7F29A6B593E559DC416DC849F465CC44973DFE872EEA2B02C2DFA91FCC70622CC 8 Multi.Generic [Kaspersky]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\BE8.TMP.EXE
bl 8A484B1294205D528317DE908FE8E73C 67584
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\BCUSSMER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

; Java(TM) 6 Update 25
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 21.07.2013 07:21:49
[ Как создать образ автозапуска? ]
 
Виталий Цесарский
Виталий Цесарский
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.07.2013
Размещено 22.07.2013 17:24:26
Вирус ушел, другой появился C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован. Вчера был очищен удалением, сегодня на месте
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:28:05
добавьте новый образ автозапуска

+
лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 22.07.2013 17:28:43
[ Как создать образ автозапуска? ]
 
Виталий Цесарский
Виталий Цесарский
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.07.2013
Размещено 22.07.2013 17:42:43
Вот файлы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:47:21
добавьте еще лог сканирования в ESET NOD32 только оперативной памяти
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:51:01
судя по журналу угроз, новых детектов сегодня нет.

Цитата
21.07.2013 10:19:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна
21.07.2013 10:19:04 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:55:46 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(716) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:39:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(1536) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(504) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\WINDOWS\system32\svchost.exe модифицированный Win32/Tofsee.AX троянская программа очистка невозможна MICROSOF-F5F7A5\Admin

добавьте образ автозапуска из безопасного режима системы, может там будет картинка другая.
Изменено: santy - 22.07.2013 17:51:34
[ Как создать образ автозапуска? ]
 
Виталий Цесарский
Виталий Цесарский
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.07.2013
Размещено 22.07.2013 17:51:37
Сейчас проверка пройдет и в списке в журнале появится, сразу скину
Изменено: Виталий Цесарский - 22.07.2013 17:54:59
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:57:09
Цитата
Виталий Цесарский пишет:
Вирус ушел, другой появился C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован. Вчера был очищен удалением, сегодня на месте

возможно, второй троян проявляет активность

да со ссылкой что то проблема на форуме

Цитата
When executed, the trojan copies itself into the following location:

   %profile%\­%variable%.exe

A string with variable content is used instead of %variable% .

In order to be executed on every system start, the trojan sets the following Registry entry:

   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
       "MSConfig" = "%profile%\­%variable%.exe"

The trojan runs the following process:

   svchost.exe

The trojan creates and runs a new thread with its own code within these running processes.

After the installation is complete, the trojan deletes the original executable file.
Other information

Win32/Tofsee.AX is a trojan that is used for spam distribution.

The trojan acquires data and commands from a remote computer or the Internet.

The trojan contains a list of (9) URLs. The HTTP, SMTP protocol is used.

It can execute the following operations:

   download files from a remote computer and/or the Internet
   run executable files
   send spam

The trojan checks for Internet connectivity by trying to connect to the following servers:

   google.com
   mail.ru
   microsoft.com
   yahoo.com

more info

The trojan keeps various information in the following Registry keys:

   [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]
   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]

The trojan may create the following files:

   %windir%\­Temp:temp
   %profile%\­Application Data\­desktop.ini:init
   %profile%\­Local Settings\­Application Data\­Microsoft\­Windows\­UsrClass.dat.tmp
Изменено: santy - 22.07.2013 18:08:56
[ Как создать образ автозапуска? ]
 
Виталий Цесарский
Виталий Цесарский
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.07.2013
Размещено 22.07.2013 18:02:50
Цитата
santy пишет:
Цитата
Виталий Цесарский пишет:
Вирус ушел, другой появился C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован. Вчера был очищен удалением, сегодня на месте

возможно, второй троян проявляет активность

http://www.virusradar.com/en/Win32_Tofsee.AX/description
ссылочка не работает
 
1 2 3 4 След.
Читают тему