Win32/Kryptik.FB, Win32/Spy.Agent.NKY

[Akiz]

Посмотрите пожалуйста что можно сделать с этими зловредами. Заранее спасибо.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('F:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Ваш провайдер?

org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine

Если нет, то пофиксить в HiJack

Код:

 O17 - HKLM\System\CCS\Services\Tcpip\..\{A872FC1D-0B7A-4D0E-999E-A2434E1C79ED}: Name-Server = 85.255.116.30,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\..\{D359BE4F-B9FE-4528-A948-CBAC166E12B5}: NameServer = 85.255.116.30,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDD50D3A-8AB2-4C80-98A8-019F49F84CCB}: NameServer = 85.255.116.30,85.255.112.144
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.30,85.255.112.144
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.30,85.255.112.144

и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

Сделайте новые логи + лог gmer

[Akiz]

Повторные логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gaopdxrvamrfvp.sys','');
 QuarantineFile('c:\windows\system32\gaopdxyprqptti.dll','');
 DeleteFile('c:\windows\system32\gaopdxyprqptti.dll');
 DeleteFile('c:\windows\system32\drivers\gaopdxrvamrfvp.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service gaopdxserv.sys
gmer.exe -del file "c:\windows\system32\drivers\gaopdxrvamrfvp.sys"
gmer.exe -del file "c:\windows\system32\gaopdxyprqptti.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\gaopdxrvamrfvp.sys"
gmer.exe -del file "C:\WINDOWS\system32\gaopdxyprqptti.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[Akiz]

Повторный лог gmer

[thyrex]

В логе чисто. В HiJack фикс выполнили? Нового лога HiJack почему-то не сделали.
Что с проблемами?

[Akiz]

В HiJack пофиксил, вроде все нормально, извиняюсь, вот ещё лог HiJack

[thyrex]

В логе порядок.