santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = taskhost.exe(1964) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна, Доброго времени суток,помогите пожалуйста убрать эту каку.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 20:41:01

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 988C1FD2472A4C9AD5DAAEB1DB5C120525013B1E0FC01F780CA62D37A45F4F1ADC02EF477E5516073B0989FF195749713BDB4B1E0A9BB0A77B7F2D3AB7596373 8 SpyEye.0124 zoo %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref /C deltmp delnfr regt 14 czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 988C1FD2472A4C9AD5DAAEB1DB5C120525013B1E0FC01F780CA62D37A45F4F1ADC02EF477E5516073B0989FF195749713BDB4B1E0A9BB0A77B7F2D3AB7596373 8 SpyEye.0124
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref /C
deltmp
delnfr
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 18:53:20

не факт что это троянский скрипт, у человека установлен TMG клиент.

Цитата
Полное имя C:\PROGRAM FILES (X86)\FOREFRONT TMG CLIENT\FWCAGENT.EXE Имя файла FWCAGENT.EXE Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Процесс 32-х битный Размер 275424 байт Создан 16.11.2009 в 15:54:36 Изменен 16.11.2009 в 15:54:36 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Corporation Оригинальное имя FwcAgent.exe Версия файла 7.0 Описание Forefront TMG Client Agent Производитель Microsoft ® Corporation

Цитата

Полное имя C:\PROGRAM FILES (X86)\FOREFRONT TMG CLIENT\FWCAGENT.EXE
Имя файла FWCAGENT.EXE
Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс 32-х битный
Размер 275424 байт
Создан 16.11.2009 в 15:54:36
Изменен 16.11.2009 в 15:54:36
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Corporation

Оригинальное имя FwcAgent.exe
Версия файла 7.0
Описание Forefront TMG Client Agent
Производитель Microsoft ® Corporation

[ Как создать образ автозапуска? ]

Перейти

Вирус для iBank2, Вирус для системы Клиент-Банк iBank2

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 18:46:06

Цитата
Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю.

ради интереса надо было снять образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
тогда будет проще анализировать, какие изменения внесены в систему.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Ranbyus.I, Оперативная память explore.exe(4968) модифицированный Win32/Spy.Ranbyus.I троянская программа, Очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 18:41:19

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.SpyEye.CA trojan, Прошу помощи в лечении

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 13:03:55

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\TROSHKIN\LOCAL SETTINGS\TEMP\7ZOB161.TMP\GREENCHRISTMASTREE.EXE deltmp delnfr czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TROSHKIN\LOCAL SETTINGS\TEMP\7ZOB161.TMP\GREENCHRISTMASTREE.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 12:54:31

1. добавьте в следующее сообщение лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 1ACA579B5583E88CF42B627DA804DEC9E946303A4536D3F3D1E7C9371CF275C9F163AA64FEDFD96D230444EA5097B3FA7CDFE8005B598DA8B03AA42FB303CBA6 8 a variant of Win32/StaffCop zoo %SystemRoot%\SYSWOW64\CSRSS_TC.EXE delall %SystemRoot%\SYSWOW64\CSRSS_TC.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1ACA579B5583E88CF42B627DA804DEC9E946303A4536D3F3D1E7C9371CF275C9F163AA64FEDFD96D230444EA5097B3FA7CDFE8005B598DA8B03AA42FB303CBA6 8 a variant of Win32/StaffCop
zoo %SystemRoot%\SYSWOW64\CSRSS_TC.EXE
delall %SystemRoot%\SYSWOW64\CSRSS_TC.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не получается излечить Win32/Spy.SpyEye.CA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 10:43:48

удалите найденное в мбам, за исключением

Цитата
Обнаруженные файлы: 3 C:\WINDOWS\system32\Crypt.dll (Hacktool) -> Действие не было предпринято. C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Нужна помощ, странности с установкой

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2013 05:57:41

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Win32/Spy.SpyEye.CA, троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.01.2013 17:38:32

связано.

Цитата
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер: Бот GUID (уникальный идентификатор, связанный с вредоносной программой) Имя текущего пользователя имя компьютера Номер тома Процесс имя, связанное с захваченных данных Название перехваченной функции API (например PR_Write) Нажатие клавиш Другие сведения, относящиеся к компьютеру языка, такие как: местное время часовой пояс Версия операционной системы язык

Цитата

Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:

Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык

по логу мбам,
удалите следующие объекты

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|YI9B2F0F2EXHZG2ZBMX (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE39D4.exe -> Помещено в карантин и успешно удалено. Объекты реестра обнаружены: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

Цитата

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F2EXHZG2ZBMX (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE39D4.exe -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 23.01.2013 17:40:54

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не обновляется антивирус.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.01.2013 08:39:28

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти