Показано с 1 по 16 из 16.

Модифицированый Kryptik.AKT (заявка № 54808)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54

    Thumbs up Модифицированый Kryptik.AKT

    Nod при старте системы ругается на найденый вирус в файлах
    Код:
    Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
    15.09.2009 11:57:17 AMON файл C:\WINDOWS\TEMP\BN13.tmp модифицированный Win32/Kryptik.AKT троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением  C:\WINDOWS\system32\services.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
    Тоесть что-то пытается создать эти файлы, при проверке системы в безопасном режиме ничего не находит.

    При запуске скрипта в AVZ в папке LOG ничего не создается, прикладываю сохраненый протокол.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe','');
     DeleteFile('C:\WINDOWS\system32\sys32_nov.exe');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     QuarantineFile('ikowin32.exe','');
     DeleteFile('ikowin32.exe');
     QuarantineFile('JVM32.DLL','');
     DeleteFile('JVM32.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Сделайте новые логи и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    выдает ошибки и перезагружается, удалось сохранить лог:
    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
    >>>Для удаления файла C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL необходима перезагрузка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sys32_nov.exe)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sys32_nov.exe)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:C:\WINDOWS\system32\sys32_nov.exe
    >>>Для удаления файла C:\WINDOWS\system32\sys32_nov.exe необходима перезагрузка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\regedit.exe)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\regedit.exe)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:C:\WINDOWS\system32\regedit.exe
    >>>Для удаления файла C:\WINDOWS\system32\regedit.exe необходима перезагрузка
    Ошибка карантина файла, попытка прямого чтения (ikowin32.exe)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (ikowin32.exe)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:ikowin32.exe
    >>>Для удаления файла ikowin32.exe необходима перезагрузка
    Ошибка карантина файла, попытка прямого чтения (JVM32.DLL)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (JVM32.DLL)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:JVM32.DLL
    >>>Для удаления файла JVM32.DLL необходима перезагрузка
    Автоматическая чистка следов удаленных в ходе лечения программ
    [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,sys32_nov,C:\WINDOWS\system32\sys32_nov.exe
    [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,sys32_nov,C:\WINDOWS\system32\sys32_nov.exe
    [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,Regedit32,C:\WINDOWS\system32\regedit.exe
    [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,Regedit32,C:\WINDOWS\system32\regedit.exe

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Карантин пустой?
    Давайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    обновился Nod и нашел такую бяку
    Код:
    Bpeмя	Moдуль	Oбъeкт	Имя	Bиpуc	Дeйcтвиe	Пoльзoвaтeль	Инфopмaция
    15.09.2009 15:42:28	AMON	файл	C:\Documents and Settings\DiBrain\sys32_nov.exe	Win32/TrojanDownloader.Bredolab.AA троян		NT AUTHORITY\SYSTEM	Событие при попытке доступа к файлу приложением  C:\Program Files\Java\jre6\bin\jqs.exe.
    Вроде отлечил, но что-то странно система себя ведет. Пару раз после перезагрузки вылетало окно что произошел сбой и будет перезагрузка через минуту и таймер обратного отсчета. К сожалению не сохранил скриншот, а в логах системы на этот счет странно пусто.

    Настораживает ключ в реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "Regedit32"="C:\\WINDOWS\\system32\\regedit.ex e" он появляется после ручного удаления
    файла самого в тотал командере невидно

    Вот новые логи:
    (удалил логи, делаю новые, сначала не то прикрепил.)
    Последний раз редактировалось bnwa; 15.09.2009 в 17:15.

  7. #6
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    Вот новые логи
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelCLSID('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Системный файл C:\WINDOWS\system32\Drivers\agp440.sys подменен троянским.
    Его надо заменить на чистый.
    Как заменить системный файл: http://virusinfo.info/showthread.php?t=51654

    Затем сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  9. #8
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    правильно ли я понял, скрипт создает карантин, но не удаляет эти файлы. Прислать карантин вам для проверки.

    Потом надо заменить agp440.sys на живой. могу его вытащить с дистрибутива но под виндой, рескью диска нету, поможет ли замена файла под загруженой виндой (если там возможно в памяти зараза сидит)? Или все же найти рескью диск и делать с него?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от bnwa Посмотреть сообщение
    скрипт создает карантин, но не удаляет эти файлы. Прислать карантин вам для проверки.
    Да.

    Цитата Сообщение от bnwa Посмотреть сообщение
    поможет ли замена файла под загруженой виндой
    В Безопасном режиме должно получиться.

  11. #10
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    файл agp440.sys заменил
    карантин выслал
    логи приложены

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ExecuteRepair(1);
     ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\DiBrain\sys32_nov.exe','');
     DeleteFile('C:\Documents and Settings\DiBrain\sys32_nov.exe');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    NOD успокоился?

  13. #12
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    нод успокоился давно когда еще нашел Win32/TrojanDownloader.Bredolab.AA

    скрипт запустил, что-то он ругнулся красным в области состояния и перезагрузил компьютер, прочитать не успел.
    Карантин не создался.

    лог во вложении.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Троянов не видно.

  15. #14
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    8
    Вес репутации
    54
    спасибо Вам большое

    а что за бяка то была?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Бяк было много, но в карантин попала одна:
    C:\WINDOWS\system32\Drivers\agp440.sys = Trojan.DownLoad.47257
    Возможно, этот троян и закачивал из Интернета все остальные.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bnwa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите модифицированый Win32 spy voltar.a
      От Roman_Klim в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.06.2012, 13:36
    2. Ответов: 11
      Последнее сообщение: 06.03.2012, 23:30
    3. Ответов: 12
      Последнее сообщение: 22.02.2012, 20:53
    4. Kryptik.BF
      От MAKEDON в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.08.2009, 23:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00325 seconds with 20 queries