Junior Member
Вес репутации
55
Win32/Kryptik.SQ - прошу помощи
Добрый день! NOD32 при загрузке находит трояна, безуспешно пытается его уничтожить. Троян поменял в реестре параметр TCPIP - удалял вручную, т. к. блокировался выход в интернет, трафик шел неведомо куда, в логах HiJack теперь этих строк нет. Помогите добить, пожалуйста!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\tempo-15495515.tmp','');
QuarantineFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll','');
DeleteFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll');
DeleteFile('C:\WINDOWS\TEMP\tempo-15495515.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторить логи + сделать лог Gmer
Загрузить карантин по красной ссылке.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Выполнил.
Карантин закачал:
Файл сохранён как 090707_170310_virus_4a53478e115ac.zip
Размер файла 13262
MD5 96c9b637fd0d0f1aede140cafd7ccd43
Вложения
В карантине был Trojan.Win32.Agent.clxm по Касперскому.
Добавлено через 3 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll','');
QuarantineFile('C:\WINDOWS\system32\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys','');
QuarantineFile('C:\WINDOWS\system32\MSIVXfxwvbkpufnaqnfwmobwgbeycpasnvdiy.dll','');
BC_DeleteFile('C:\WINDOWS\system32\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys');
BC_DeleteFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll');
BC_DeleteSvc('MSIVXserv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи после перезагрузки.
Загрузить карантин только за сегодняшнее число по Правилам.
Последний раз редактировалось PavelA; 08.07.2009 в 15:11 .
Причина: поправил
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
+ к предыдущему
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service MSIVXserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.bak"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXfxwvbkpufnaqnfwmobwgbeycpasnvdiy.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXcount"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Добрый день! AVZ пишет:
Ошибка скрипта: Undeclared identifier: 'BC_DeleteSvs', позиция [9:14]
и ничего не выполняет.
Gmer сейчас сделаю
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Карантин закачал:
Файл сохранён как 090708_165439_virus_4a54970f1262b.zip
Размер файла 55675
MD5 e1fb6f2443b1e0a3c64d2a1269fb48fb
Вложения
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service MSIVXserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXitxfoykbvqsusbmqbltfmglwkqtgnmeg.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXnqwmrsybydnfyxtpaxxlllgbwtcpciti.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Последний раз редактировалось thyrex; 08.07.2009 в 19:16 .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Выполнил. Gmer руганулсяся, что не нашел такие пути, перезагрузил. После перезагрузки просканировал все Gmer'ом, он не стал создавать лог.
Немного поправил скрипт
Попробуйте еще раз выполнить. На сообщения об ошибках не обращайте внимания.
Попробуйте сделать новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Вложения
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Спасибо за помощь! Сейчас последую вашим рекомендациям, создам ограниченную учетку и т. д.
Напоследок 2 вопроса:
1.В логе HiJack вызывает сомнение строчка
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
. Убить ее?
2. Посоветуйте что-нибудь для очистки и оптимизации реестра (в regedit'e я не силен!)
1. Да, эту строчку надо пофиксить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Пофиксил,пропала. Вроде все хорошо...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\msivxfxwvbkpufnaqnfwmobwgbeycp asnvdiy.dll - Trojan.Win32.Monder.cqcs c:\windows\system32\msivxuwpdqvstdynqjemwrdxhdkefg dkddbae.dll - Trojan.Win32.Agent.clxm ( DrWEB: BackDoor.Tdss.223, BitDefender: Trojan.Generic.2020384 )