Решена - Вирус в оперативной памяти - Win32/SpyVoltar.A троянская программа

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем CeH9, 21 авг 2012.

  1. CeH9

    CeH9 Junior User

    1) Nod32 выдает сообщение о вирусе: (очистка невозможна)
    Вирус в оперативной памяти - Win32/SpyVoltar.A троянская программа

    "Оперативная память = C:\Documents and Settings\Admin\Application Data\taskhost.exe"


    Ссылка на архив virusinfo_SYSCURE.zip. - http://zalil.ru/33697935

    Ссылка на архив hijackthis.log.rar - http://rghost.ru/39922184

    Ссылка на образ автозапуска - http://rghost.ru/39922206

    2) Каждый раз ри запуске Windows (windows XP sp3)
    открывается окно (КОМАНДНАЯ СТРОКА)
    "C:\DOCUME 1\Admin\5D29 1\4A66 1\60C2 1\8R4UPZ 1.EXE" .
    Окно с черным фоном и мигающим курсором.
    Его можно закрыть и больше оно не выскакивает,
    до следующей перезагрузки компьютера. Что это?
    И может ли это быть из за вируса?

    Ссылка на скрин этой "гадости" - http://rghost.ru/39922218

    Заранее спасибо!
     
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.7781097319050517.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8R4UPZV1B8O.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8R4UPZV1B8O.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
    delref HTTP://BROWSERHELP2.RU
    regt 3
    regt 12
    regt 14
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  3. CeH9

    CeH9 Junior User

    Выполнил скрипт в UVS.
    Cделал лог MBAM.
    Ссылка на файл лога - http://rghost.ru/39947933
     
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Оставить только вот это
    Остальное удалить!

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  5. CeH9

    CeH9 Junior User

    В MBAM оставил указанные строки, остальное удалил.
    Для закрытия уязвимостей выполнил скрипт в AVZ.
    Ссылка на скрипт AVZ - http://rghost.ru/39961842 (пароль на файл в ЛС)
    Было найдено 13 уязвимостей. Скачал обновления по ссылкам и установил их.
    Все прошло успешно кроме одного обновления:
    "office2003-KB2687323-FullFile-RUS.exe". Подскажите как это исправить!?

    Вот ошибка:

    При попытке обновить раздел
    "Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=f22593be-d0b6-4b83-b0d6-d872d88241b3"

    Ошибка 1706. не удается найти необходимые файлы.
    проверьте подключение к сети или работоспособность
    дисковода для компакт-дисков. Сведения о других возможных
    способах решения этой проблемысм
    в C:\Program Files\Microsoft Office\ OFFICE11\1049\SETUP.CHM.

    нужный файл находится на сетевом
    ресурсе, который сейчас недоступен.

    нажмите "ок", чтобы повторить попытку,
    или укажите другой путь к папке, содержащей пакет
    установки "PRO11.MSI."

    В итоге:
    - Nod больше не выдает сообщение о вирусе в оперативной памяти.
    - Решена проблема с этой "гадостью" -

    ("2) Каждый раз ри запуске Windows (windows XP sp3)
    открывается окно (КОМАНДНАЯ СТРОКА)
    "C:\DOCUME 1\Admin\5D29 1\4A66 1\60C2 1\8R4UPZ 1.EXE" .
    Окно с черным фоном и мигающим курсором.
    Его можно закрыть и больше оно не выскакивает,
    до следующей перезагрузки компьютера. Что это?
    И может ли это быть из за вируса?
    Ссылка на скрин этой "гадости" - http://rghost.ru/39922218").

    Остается только решить проблему с уязвимостями.
     
  6. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1.Выполните еще раз все логи по правилам, проверим еще раз почему выскакивает окно!
    2.Нужно будет переустановить MS Office на более новую версию или найти уже готовую сборку, это уже потом решим.

    Спасибо.
     
  7. CeH9

    CeH9 Junior User

    1. Повторно выполнил логи и скрипты по всем правилам,
    "инструкции по борьбе с вирусами" вот ссылки на файлы:

    hijackthis.log - http://rghost.ru/40041707

    virusinfo_SYSCURE.zip. - http://rghost.ru/40041712

    Полный образ автозапуска uVS - http://rghost.ru/40041717

    2. По поводу MS Office какую сборку порекомендуете?
    может дадите ссылку?
    p.s. с учетом что мне подходит только 2003 офис.
    С благодарностью
     
  8. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    exec "C:\PROGRAM FILES\INCREDIBAR.COM\INCREDIBAR\1.5.11.14\UNINSTALL.EXE"
    regt 3
    regt 7
    regt 12
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    По поводу офиса, ответил в личку.
     
  9. CeH9

    CeH9 Junior User

    Огромнейшее человеческое спасибо =)
     

Поделиться этой страницей