Win32/Kryptik.SQ - прошу помощи
Добрый день! NOD32 при загрузке находит трояна, безуспешно пытается его уничтожить. Троян поменял в реестре параметр TCPIP - удалял вручную, т. к. блокировался выход в интернет, трафик шел неведомо куда, в логах HiJack теперь этих строк нет. Помогите добить, пожалуйста!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить:
После перезагрузки повторить логи + сделать лог GmerКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\TEMP\tempo-15495515.tmp',''); QuarantineFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll',''); DeleteFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll'); DeleteFile('C:\WINDOWS\TEMP\tempo-15495515.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по красной ссылке.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил.
Карантин закачал:
Файл сохранён как090707_170310_virus_4a53478e115ac.zip
Размер файла13262
MD596c9b637fd0d0f1aede140cafd7ccd43
В карантине был Trojan.Win32.Agent.clxm по Касперскому.
Добавлено через 3 минуты
Выполнить скрипт:
Сделать новые логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll',''); QuarantineFile('C:\WINDOWS\system32\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys',''); QuarantineFile('C:\WINDOWS\system32\MSIVXfxwvbkpufnaqnfwmobwgbeycpasnvdiy.dll',''); BC_DeleteFile('C:\WINDOWS\system32\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys'); BC_DeleteFile('C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll'); BC_DeleteSvc('MSIVXserv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин только за сегодняшнее число по Правилам.
Последний раз редактировалось PavelA; 08.07.2009 в 15:11. Причина: поправил
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
+ к предыдущему
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service MSIVXserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXitufxjlkmppkbpcxovbwqwmbqrychxyx.sys" gmer.exe -del file "C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.dll" gmer.exe -del file "C:\WINDOWS\system32\MSIVXuwpdqvstdynqjemwrdxhdkefgdkddbae.bak" gmer.exe -del file "C:\WINDOWS\system32\MSIVXfxwvbkpufnaqnfwmobwgbeycpasnvdiy.dll" gmer.exe -del file "C:\WINDOWS\system32\MSIVXcount" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день! AVZ пишет:
и ничего не выполняет.Ошибка скрипта: Undeclared identifier: 'BC_DeleteSvs', позиция [9:14]
Gmer сейчас сделаю
Исправил скрипт.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин закачал:
Файл сохранён как 090708_165439_virus_4a54970f1262b.zip
Размер файла 55675
MD5 e1fb6f2443b1e0a3c64d2a1269fb48fb
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service MSIVXserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXitxfoykbvqsusbmqbltfmglwkqtgnmeg.sys" gmer.exe -del file "C:\WINDOWS\system32\MSIVXnqwmrsybydnfyxtpaxxlllgbwtcpciti.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Последний раз редактировалось thyrex; 08.07.2009 в 19:16.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. Gmer руганулсяся, что не нашел такие пути, перезагрузил. После перезагрузки просканировал все Gmer'ом, он не стал создавать лог.
Немного поправил скрипт
Попробуйте еще раз выполнить. На сообщения об ошибках не обращайте внимания.
Попробуйте сделать новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новый лог.
Зачищено. Лог чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за помощь! Сейчас последую вашим рекомендациям, создам ограниченную учетку и т. д.
Напоследок 2 вопроса:
1.В логе HiJack вызывает сомнение строчка
. Убить ее?O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
2. Посоветуйте что-нибудь для очистки и оптимизации реестра (в regedit'e я не силен!)
1. Да, эту строчку надо пофиксить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пофиксил,пропала. Вроде все хорошо...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\msivxfxwvbkpufnaqnfwmobwgbeycp asnvdiy.dll - Trojan.Win32.Monder.cqcs
- c:\windows\system32\msivxuwpdqvstdynqjemwrdxhdkefg dkddbae.dll - Trojan.Win32.Agent.clxm ( DrWEB: BackDoor.Tdss.223, BitDefender: Trojan.Generic.2020384 )
Уважаемый(ая) Skippy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
