модифицированный Win32/SpyVoltar.A троянская программа

JPall · 03.02.2012, 21:26

Помогите, пожалуйста,
на компьютере жены снова троян.
NOD32 при проверке выдал:
Оперативная память » C:\Documents and Settings\Vera2\Application Data\netprotocol.exe модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна

Вот все требуемые файлы:
UVs
http://zalil.ru/32637874

Avz
http://zalil.ru/32637880

rsit
http://zalil.ru/32637882

При сканировании нод32 нашел 2 трояна и удалил их, а тот, что в оперативной памяти - не смог.

Bartimeus · 03.02.2012, 21:39

JPall, Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cplbonus\pkey.exe','');
 QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
 QuarantineFile('C:\Documents and Settings\Vera2\Application Data\netprotocol.exe','');
 DeleteFile('C:\Documents and Settings\Vera2\Application Data\netprotocol.exe');
 DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
 DeleteFile('C:\WINDOWS\system32\cplbonus\pkey.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Пришлите quarantine.zip по этой форме
После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

Также сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
На все запросы жмем Да и Далее

safety · 03.02.2012, 21:57

отсюда еще надо удалить.
---------

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\VERA2\LOCAL SETTINGS\TEMP\MACHINEUPDATE32.EXE
Имя файла MACHINEUPDATE32.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 138752 байт
Создан 15.04.2008 в 14:00:00
Изменен 15.04.2008 в 14:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя Crypt.exe
Версия файла 8.6
Описание Sod Sees Bun
Производитель Orb Networks

Доп. информация на момент обновления списка
SHA1 A0899BB8B5C5AFF9B64800C79F280EEB319BBFF9
MD5 12486E8857F1767218BCEF48F134F499

JPall · 03.02.2012, 22:07

Сделал

avz
http://zalil.ru/32638141

malwarebytes
http://zalil.ru/32638155

Bartimeus · 03.02.2012, 22:10

Цитата:

Сообщение от safety

отсюда еще надо удалить.

щас, у меня просто не видно этого в логе

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUMENTS AND SETTINGS\VERA2\LOCAL SETTINGS\TEMP\MACHINEUPDATE32.EXE','');
 DeleteFile('C:\DOCUMENTS AND SETTINGS\VERA2\LOCAL SETTINGS\TEMP\MACHINEUPDATE32.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В МВАМ всё удалить.

JPall · 03.02.2012, 22:17

Все сделал
Скрипт
и удаление

Bartimeus · 03.02.2012, 22:23

Цитата:

Сообщение от JPall

Все сделал
Скрипт
и удаление

что с проблемой?
Устранение уязвимостей:

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

JPall · 03.02.2012, 23:05

Пока все идет хорошо.
Спасибо.

crucian · 24.02.2012, 16:04

спасибо, помог скрипт

03.02.2012, 21:26	#1 (ссылка)
JPall Новичок Регистрация: 16.10.2011 Сообщений: 16 Репутация: 0	модифицированный Win32/SpyVoltar.A троянская программа Помогите, пожалуйста, на компьютере жены снова троян. NOD32 при проверке выдал: Оперативная память » C:\Documents and Settings\Vera2\Application Data\netprotocol.exe модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна Вот все требуемые файлы: UVs http://zalil.ru/32637874 Avz http://zalil.ru/32637880 rsit http://zalil.ru/32637882 При сканировании нод32 нашел 2 трояна и удалил их, а тот, что в оперативной памяти - не смог.

03.02.2012, 21:39	#2 (ссылка)
Bartimeus Стажёр Регистрация: 21.12.2011 Сообщений: 1,040 Репутация: 105	JPall, Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО. AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cplbonus\pkey.exe',''); QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe',''); QuarantineFile('C:\Documents and Settings\Vera2\Application Data\netprotocol.exe',''); DeleteFile('C:\Documents and Settings\Vera2\Application Data\netprotocol.exe'); DeleteFile('C:\WINDOWS\system32\machineupdate32.exe'); DeleteFile('C:\WINDOWS\system32\cplbonus\pkey.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После перезагрузки выполните скрипт в AVZ: Код: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Пришлите quarantine.zip по этой форме После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip Также сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную. На все запросы жмем Да и Далее

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
модифицированный Win32/Agent.THN троянская программа	Yeris197	Безопасность	3	29.01.2012 00:31
модифицированный Win32/Carberp.A троянская программа	Totgeliebt	Безопасность	8	25.11.2011 17:34
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа	Benz_600	Безопасность	10	24.11.2011 11:55
троянская программа модифицированный win32/TrojanDownloader.Carberp.AF	Andrey21	Безопасность	3	21.11.2011 19:35
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа	Den76	Безопасность	7	21.10.2011 18:14

03.02.2012, 22:07	#4 (ссылка)
JPall Новичок Регистрация: 16.10.2011 Сообщений: 16 Репутация: 0	Сделал avz http://zalil.ru/32638141 malwarebytes http://zalil.ru/32638155

03.02.2012, 22:17	#6 (ссылка)
JPall Новичок Регистрация: 16.10.2011 Сообщений: 16 Репутация: 0	Все сделал Скрипт и удаление

03.02.2012, 23:05	#8 (ссылка)
JPall Новичок Регистрация: 16.10.2011 Сообщений: 16 Репутация: 0	Пока все идет хорошо. Спасибо.

24.02.2012, 16:04	#9 (ссылка)
crucian Новичок Регистрация: 24.02.2012 Сообщений: 1 Репутация: 0	спасибо, помог скрипт

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads