Форум esetnod32.ru [тема: Win32/Vools.C] http://forum.esetnod32.ru Новое в теме Win32/Vools.C форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 00:01:47 +0300 Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Всем спасибо за участие. Проблема решена очисткой скриптами uVS и установкой патчей.
29.12.2018 10:13:18, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105352/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105352/ Sat, 29 Dec 2018 10:13:18 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\SVETEJEBLO\\\ZELJKO.EXE
delref RZZBIJ.EXE
delref F:\UXCVPY.EXE
delref F:\XXLGJV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref F:\WNDIFW.EXE
delref F:\RZZBIJ.EXE
delref JNPFMF.EXE
delref F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\NETSRV.EXE
delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\CONMGR.EXE
delref F:\CACHE\TMP983.EXE
delref H:\VIRUPDATE.CMD
delref F:\WINDOWS\USBV.EXE
apply

deltmp
delref {426F6A6F-FEF8-4A5B-8DDC-099E7499EF50}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref DRWEBENGINE\[SERVICE]
delref VDS\[SERVICE]
delref %SystemRoot%\TEMP\70C0C19CA.SYS
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\MACROMED\FLASH\FLASH9C.OCX
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PAPRPORT.EXE
delref %Sys32%\EAPAHOST.DLL
delref %SystemDrive%\PROGRA~1\NUANCE\PAPERP~1\PAPRPORT.EXE
delref F:\SVETEJEBLO\ZELJKO.EXE
delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID]
delref {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NUANCE\PAPERPORT\PPSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
delref %SystemDrive%\PROGRAM FILES\DRWEB ENTERPRISE SUITE\DWSCANNER.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
27.12.2018 19:37:05, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105342/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105342/ Thu, 27 Dec 2018 19:37:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добавил
O0015_2018-12-27_15-30-20_v4.1.2.7z
27.12.2018 19:14:17, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105340/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105340/ Thu, 27 Dec 2018 19:14:17 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Каллиник Калинин написал:
SP3 установлен, а патч KB4012598 не устанавливается, потому что не запущена служба криптографии.В свою очередь служба криптографии не запускается, потому что в системе уже есть вирус.Замкнутый круг.
=============

добавьте образ автозапуска этой системы для проверки
27.12.2018 12:08:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105339/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105339/ Thu, 27 Dec 2018 12:08:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
SP3 установлен, а патч KB4012598 не устанавливается, потому что не запущена служба криптографии.
В свою очередь служба криптографии не запускается, потому что в системе уже есть вирус.
Замкнутый круг.
27.12.2018 11:57:07, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105338/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105338/ Thu, 27 Dec 2018 11:57:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Каллиник Калинин написал:
Win XP Pro x86 - проблема не решилась, оба обновления отказались устанавливаться
=============
SP3 установлен в системе?
скачивать и устанавливать необходимо один патч:
Обновление для системы безопасности Windows XP SP3 (KB4012598) — особая поддержка Windows XP Обновления системы безопасности 13.05.2017 Н/Д 672 KB
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
27.12.2018 11:04:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105337/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105337/ Thu, 27 Dec 2018 11:04:38 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня было заражено 3 компьютера:
Win 7 Pro x64 - проблема решилась установкой обновлений

Win 7 Pro x86 - проблема не решилась, так как видимо не установлены предыдущие обновления, решили полностью переустановить систему на х64

Win XP Pro x86 - проблема не решилась, оба обновления отказались устанавливаться
27.12.2018 10:30:39, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105335/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105335/ Thu, 27 Dec 2018 10:30:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
@Каллиник Калинин,
что с проблемой сейчас? помогла установка обновлений?
27.12.2018 10:18:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105334/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105334/ Thu, 27 Dec 2018 10:18:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86...вот также ссылка для 32-разрядных систем
26.12.2018 12:09:34, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105310/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105310/ Wed, 26 Dec 2018 12:09:34 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Каллиник Калинин написал:
И подскажите пожалуйста, что делать с машиной на Windows XP? Под нее есть патч?
=============
здесь посмотрите:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
26.12.2018 12:07:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105309/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105309/ Wed, 26 Dec 2018 12:07:08 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
И подскажите пожалуйста, что делать с машиной на Windows XP? Под нее есть патч?
26.12.2018 12:04:07, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105308/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105308/ Wed, 26 Dec 2018 12:04:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Каллиник Калинин написал:
Эти патчи скачал, установил.
=============
можно проверить, закрыта данная уязвимость или нет.

При помощи сетевого сканера Nmap
Выполняем сканирование следующей командой:

====quote====
   nmap -p 445 -Pn --script smb-vuln-ms17-010 <targethosts>
=============

26.12.2018 12:03:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105307/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105307/ Wed, 26 Dec 2018 12:03:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Эти патчи скачал, установил.
26.12.2018 11:57:17, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105305/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105305/ Wed, 26 Dec 2018 11:57:17 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Дело в том, что последние обновления устанавливались у нас в организации полгода назад. Ранее был развернут сервер WSUS, но затем закрыт из-за нехватки мощностей. Теперь сидим без обновлений.
26.12.2018 11:56:45, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105304/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105304/ Wed, 26 Dec 2018 11:56:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Каллиник Калинин

Вы обновления для операционной системы установили ?

Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system.
The trojan generates various IP addresses.
It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability.
This vulnerability is described in Microsoft Security Bulletin MS17-010 .
If it succeeds, a copy of the trojan is retrieved from the attacking machine.

В uVS  выполните ( для очистки от мусора ):
Дополнительно > Очистить карнизу, удалить временные файлы... Alt+Del
-----------
Если вышеперечисленное не даст результата то:
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/
26.12.2018 11:46:42, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105302/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105302/ Wed, 26 Dec 2018 11:46:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
в любом случае, нужен лог журнала обнаружения угроз + если не установлен патч для закрытия уязвимости MS17-010,
то установить его.
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
26.12.2018 11:44:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105301/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105301/ Wed, 26 Dec 2018 11:44:23 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
В карантине локальной машины есть такой файл: snmpstorsrv.dll, я пытался выключать антивирус, восстанавливать файл, но в папке назначения его не нахожу (скрытые и системные файлы включены), пытался восстановить файл и выключить машину, грузился с liveCD, файла все равно нет! Но потом при запуске системы антивирус через некоторое время его обнаруживает!
26.12.2018 11:33:57, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105300/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105300/ Wed, 26 Dec 2018 11:33:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день!
Высылаю образ автозапуска, созданный в uVS. Лог журнала обнаружения угроз добавить не могу, там ничего нет.
Хотя в карантине есть одна удаленная библиотечка.
O0026_2018-12-26_10-51-27_v4.1.2.7z
26.12.2018 11:01:59, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105299/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105299/ Wed, 26 Dec 2018 11:01:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ установить обновления для операционной системы...
26.12.2018 00:01:36, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105290/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105290/ Wed, 26 Dec 2018 00:01:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

upd:
+ добавьте лог журнала обнаружения угроз с проблемной машины
http://forum.esetnod32.ru/forum9/topic1408/
25.12.2018 18:38:05, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105287/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105287/ Tue, 25 Dec 2018 18:38:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пишет что очищен удалением, но через некоторое время обнаруживается снова. Что можно предпринять?
25.12.2018 18:08:46, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105285/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105285/ Tue, 25 Dec 2018 18:08:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Vools.C Win32/Vools.C обнаружен вирус, не очищает в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток!
Несколько дней установленный ESET Remote Administrator выдает вот такое:


Имя колонки    ЗначениеИдентификатор угрозы    Угроза 20294
Имя клиента    O0005
Имя компьютера    O0005
MAC-адрес    
Основной сервер    
Дата получения    2018-12-25 16:25:11
Дата события    2018-12-25 16:24:43
Уровень    Предупреждение
Модуль сканирования    Защита в режиме реального времени
Объект    файл
Имя    C:\Windows\system32\snmpstorsrv.dll
Угроза    модифицированный Win32/Vools.C троянская программа
Действие    очищен удалением
Пользователь    NT AUTHORITY\система
Информация    Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\lsass.exe (2A17507A180F5809155C5F113CB255C9F418829E).

25.12.2018 18:07:58, Каллиник Калинин.]]> http://forum.esetnod32.ru/messages/forum6/topic15111/message105284/ http://forum.esetnod32.ru/messages/forum6/topic15111/message105284/ Tue, 25 Dec 2018 18:07:58 +0300 Обнаружение вредоносного кода и ложные срабатывания