модифицированный Win32/SpyVoltar.A

@Happy Elk · Регистрация: 28.11.2012

Author24 — интернет-сервис помощи студентам

Нод 32 выдает вот такое сообщение:

Оперативная память = C:\Documents and Settings\Владимир\Application Data\omsecor.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

При этом происходит неккоректная работа браузера и некоторых других программ. Исправляется убиванием трояна в процессах.

@shestale · 28.11.2012, 07:02

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\documents and settings\Владимир\application data\omsecor.exe','');
 QuarantineFile('C:\Documents and Settings\Владимир\Application Data\txt.exe','');
 QuarantineFile('C:\WINDOWS\system32\eovifxa.dll','');
 QuarantineFile('C:\scu.dat','');
 QuarantineFileF('C:\Program Files\rhv', '*.*', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\system32\ezsidmv.dat','');
 DeleteFile('C:\WINDOWS\system32\ezsidmv.dat');
 DeleteFile('C:\WINDOWS\system32\eovifxa.dll');
 DeleteFile('C:\Documents and Settings\Владимир\Application Data\txt.exe');
 DeleteFile('c:\documents and settings\Владимир\application data\omsecor.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IueiOod');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@Happy Elk · 28.11.2012, 23:25 **[ТС]**

Файл info.txt почему-то не обновляется.

@~~Katharsis~~ · 29.11.2012, 00:46

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Владимир\Application Data\198.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts','');
 DeleteFile('C:\Documents and Settings\Владимир\Application Data\198.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
 DeleteFileMask('C:\Program Files\rhv', '*', true);
 DeleteDirectory('C:\Program Files\rhv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новый лог RSIT

3. смените все пароли

@Happy Elk · 29.11.2012, 01:27 **[ТС]**

Сделал все, как написано, но Malwarebytes anti-malware по-началу ругался :Была предотвращена попытка доступа к вредоносному сайту.

@~~Katharsis~~ · 29.11.2012, 01:37

Сообщение от Happy Elk

Была предотвращена попытка доступа к вредоносному сайту.

не обращайте внимание, это на рекламу.

проблемы ещё остались?

@Happy Elk · 29.11.2012, 01:45 **[ТС]**

Вроде нет. Большое спасибо. Посоветуйте, пожалуйста, как впредь избежать такого же заражения. Может быть какой-нибудь конкретный анти-вирус или фаервол?

@~~Katharsis~~ · 29.11.2012, 01:52

сначала закрыть лазейки: скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

потом Рекомендации после удаления вредоносного ПО

Сообщение от Happy Elk

Может быть какой-нибудь конкретный анти-вирус или фаервол?

любой, хоть бесплатный, главное чтобы вовремя обновлялся

@Happy Elk · 29.11.2012, 02:00 **[ТС]**

Security Check

Security Check by glax24 version 0.1.3.37 beta
WebSite: www.safezone.cc
DataLog 29.11.2012 01:59:33
Program directory: C:\Documents and Settings\Владимир\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.9
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
CCleaner v.3.24
DH Driver Cleaner v.1.5 сборка 14
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 25 v.6.0.250 Внимание! Скачать обновления
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления
Adobe Reader X (10.1.4) - Russian v.10.1.4 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.91
Opera 12.11 v.12.11.1661
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.11.1661.0
-------------EndLog-------------------------------

Сообщение от Katharsis

любой, хоть бесплатный, главное чтобы вовремя обновлялся

Ну вот Нод32 подкачал. Хотя это возможно из-за триал версии.

@~~Katharsis~~ · 29.11.2012, 02:04

непробиваемых нет

лучше позаботиться о безопасности - вовремя обновлять систему и дырявый софт, чем надеяться на антивирус

@Happy Elk · 29.11.2012, 02:07 **[ТС]**

Все ясно. Будем защищаться. Еще раз спасибо.

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.11.2012, 07:02	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\documents and settings\Владимир\application data\omsecor.exe',''); QuarantineFile('C:\Documents and Settings\Владимир\Application Data\txt.exe',''); QuarantineFile('C:\WINDOWS\system32\eovifxa.dll',''); QuarantineFile('C:\scu.dat',''); QuarantineFileF('C:\Program Files\rhv', '.', false, '', 0, 0); QuarantineFile('C:\WINDOWS\system32\ezsidmv.dat',''); DeleteFile('C:\WINDOWS\system32\ezsidmv.dat'); DeleteFile('C:\WINDOWS\system32\eovifxa.dll'); DeleteFile('C:\Documents and Settings\Владимир\Application Data\txt.exe'); DeleteFile('c:\documents and settings\Владимир\application data\omsecor.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IueiOod'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению. 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 0

@~~Katharsis~~ Заблокирован
	29.11.2012, 00:46	4
	1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Владимир\Application Data\198.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts',''); DeleteFile('C:\Documents and Settings\Владимир\Application Data\198.exe'); DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts'); DeleteFileMask('C:\Program Files\rhv', '*', true); DeleteDirectory('C:\Program Files\rhv'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 2. Сделайте новый лог RSIT 3. смените все пароли 1

@~~Katharsis~~ Заблокирован
	29.11.2012, 01:37	6
	Сообщение от Happy Elk Была предотвращена попытка доступа к вредоносному сайту. не обращайте внимание, это на рекламу. проблемы ещё остались? 0

@Happy Elk 0 / 0 / 0 Регистрация: 28.11.2012 Сообщений: 6
	29.11.2012, 01:45 [ТС]	7
	Вроде нет. Большое спасибо. Посоветуйте, пожалуйста, как впредь избежать такого же заражения. Может быть какой-нибудь конкретный анти-вирус или фаервол? 0

@~~Katharsis~~ Заблокирован
	29.11.2012, 01:52	8
	сначала закрыть лазейки: скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. потом Рекомендации после удаления вредоносного ПО Сообщение от Happy Elk Может быть какой-нибудь конкретный анти-вирус или фаервол? любой, хоть бесплатный, главное чтобы вовремя обновлялся 1

@Happy Elk 0 / 0 / 0 Регистрация: 28.11.2012 Сообщений: 6
	29.11.2012, 02:00 [ТС]	9
	Security Check Security Check by glax24 version 0.1.3.37 beta WebSite: www.safezone.cc DataLog 29.11.2012 01:59:33 Program directory: C:\Documents and Settings\Владимир\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=0.9 __________________________________________________ WIN_XP (x86) Lan:0419 Service Pack 3 Internet Explorer 8.0 -------------Windows------------------------------ Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба остановлена -------------Antivirus_WMI------------------------ ESET NOD32 Antivirus 4.2 Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiVirusFirewallInstall------------- -------------OtherUtilities----------------------- CCleaner v.3.24 DH Driver Cleaner v.1.5 сборка 14 Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000 -------------Java--------------------------------- Java(TM) 6 Update 25 v.6.0.250 Внимание! Скачать обновления -------------AppleProduction---------------------- -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.5.502.110 Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления Adobe Reader X (10.1.4) - Russian v.10.1.4 Внимание! Скачать обновления -------------Browser------------------------------ Google Chrome v.23.0.1271.91 Opera 12.11 v.12.11.1661 -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.11.1661.0 -------------EndLog------------------------------- Сообщение от Katharsis любой, хоть бесплатный, главное чтобы вовремя обновлялся Ну вот Нод32 подкачал. Хотя это возможно из-за триал версии. 0

@~~Katharsis~~ Заблокирован
	29.11.2012, 02:04	10
	непробиваемых нет лучше позаботиться о безопасности - вовремя обновлять систему и дырявый софт, чем надеяться на антивирус 0

@Happy Elk 0 / 0 / 0 Регистрация: 28.11.2012 Сообщений: 6
	29.11.2012, 02:07 [ТС]	11
	Все ясно. Будем защищаться. Еще раз спасибо. 0