Форум esetnod32.ru [тема: win32/spy.spyeye] http://forum.esetnod32.ru Новое в теме win32/spy.spyeye форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 18:58:43 +0300 win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
удалить все найденное в МБАМ, кроме

====quote====
Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

=============
далее,
выполнить наши рекомендации по безопасной работе в сети
30.01.2012 16:35:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31671/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31671/ Mon, 30 Jan 2012 16:35:17 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо большое. Эта тварь сдохла.)

проверил в малваребайт отчет сохранил

нашел какие то штуки. Просто удалить их? Ничего страшного?
mbam-log-2012-01-30 (16-27-51).txt
30.01.2012 16:33:11, Odin.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31670/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31670/ Mon, 30 Jan 2012 16:33:11 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
далее,
сделайте дополнительно проверку системы в малваребайт
30.01.2012 15:54:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31664/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31664/ Mon, 30 Jan 2012 15:54:17 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

====code==== 

;uVS v3.73.2 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
bl B5B5D11A6D2FD7C656E46A0511536B9A 333824
addsgn A7679BF0AA02AC024AD4C64952891261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13F0C59F75C4C32EF4CA9CE414DA3BE4AC965B2FC706AB7E 8 Spy.SpyEye

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3ED2.EXE
chklst
delvir
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
30.01.2012 15:51:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31663/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31663/ Mon, 30 Jan 2012 15:51:16 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
=============
Отправил на оба адреса на всякий случай.


Вот новый образ автозапуска
SANTIK_2012-01-30_15-33-47.7z
30.01.2012 15:47:01, Odin.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31662/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31662/ Mon, 30 Jan 2012 15:47:01 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Odin пишет:
Это их в архив и отправить?
=============
Да - их !
+
Повторно создайте образ в uVS.
30.01.2012 15:20:31, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31655/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31655/ Mon, 30 Jan 2012 15:20:31 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнил скрипт предварительно закрыв браузер. Рестарт комп. Далее проверяю нодом.
Он все там же на том же месте
Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

====quote====
santy пишет:
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
=============
такого неоюнаружил в распакованном архиве UVS.

Есть папка ZOO. В ней файлы с разрешением txt., и exe. Пример: WEWFS.SYS._9566A3E4A4DE12E52738D9844B0D1FDC9D336DBF.txt
                                                            LRO7IDWFTOK.EXE._73375648590E6C05CBFDEF22EC4A0DF092ED0245.txt
Это их в архив и отправить?
30.01.2012 15:17:42, Odin.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31654/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31654/ Mon, 30 Jan 2012 15:17:42 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

====code==== 

;uVS v3.73.2 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE
addsgn A7679BF0AA026CF34BD4C6D113881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB6FD9FE82BD6D780BC6D775BACCA32B233 8 Trojan.PWS.SpySweep.302 [DrWeb]

zoo %SystemRoot%\WEWFS.SYS
addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C360593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32]

bl EBC924FBCA085BC56B855884DA818716 44544
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\SUN\JAVA\PHQGHUME.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\APPLICATION DATA\NETPROTOCOL.EXE
addsgn A7679B1BB9864C720BBEC85969DE1205A64EF89C7490D41205A9D9548AC1714CA0D3D3040D8E24E12B8084F5787CB89074B5B39A93FAB02CAEB3B445386C1119 8 a variant of Win32/Kryptik.ZPA [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE
bl 0EA439BAF48D699A4242558EEFCE7FC1 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SASHOK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LRO7IDWFTOK.EXE
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=NT_SS&MNTRID=382EDBAE00000000000000235474F057&TLVER=1.4.19.19&AFFID=17160
deltmp
delnfr
sreg
delref %SystemRoot%\WEWFS.SYS
areg
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
30.01.2012 14:31:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31651/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31651/ Mon, 30 Jan 2012 14:31:21 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/spy.spyeye win32/spy.spyeye Оперативная память - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Создал файл с помощью uVS v3
SANTIK_2012-01-30_13-04-21.7z
30.01.2012 13:42:29, Odin.]]> http://forum.esetnod32.ru/messages/forum6/topic3856/message31650/ http://forum.esetnod32.ru/messages/forum6/topic3856/message31650/ Mon, 30 Jan 2012 13:42:29 +0400 Обнаружение вредоносного кода и ложные срабатывания