-
Junior Member
- Вес репутации
- 53
Nod не может вылечить вирус Win32/Kryptik.ABX
Добрый день.
Подцепил вирус. Нод32 выдаёт:
C:\WINDOWS\system32\dllcache\atapi.sys модифицированный Win32/Kryptik.ABX троянская программа Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.
C:\WINDOWS\system32\drivers\atapi.sys модифицированный Win32/Kryptik.ABX троянская программа Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.
Компьютер сильно "тормозит". Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте эту утилиту:
http://www.secureblog.info/files/TDSSKiller.rar
(отключив интернет и антивирус).
Добавлено через 3 минуты
Далее,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Admin\CsimPlayer.exe','');
QuarantineFile('C:\WINDOWS\system32\CsimPlayer.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\CsimPlayer.exe');
DeleteFile('C:\Documents and Settings\Admin\CsimPlayer.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63426).
Сделайте новые логи.
Добавлено через 3 минуты
Дополнительно сделайте лог gmer.
Последний раз редактировалось Bratez; 12.12.2009 в 16:45.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Всё выполнил. После утилиты TDSSKiller машина сразу зависала при загрузке. С 3-го раза удалось запустить AVZ, но в нём руские символы отображались как цифры в квадратных скобках ( [243561] ).
Разархивировал новый (там было по русски) и в нём запустил скрипт.
Отправил файлы карантина и сделал логи.
Комп продолжает сильно "тормозить".
-
Junior Member
- Вес репутации
- 53
C:\WINDOWS\system32\dllcache\atapi.sys - модифицированный Win32/Kryptik.ABX троянская программа - очищен удалением - изолирован
C:\WINDOWS\system32\drivers\atapi.sys - модифицированный Win32/Kryptik.ABX троянская программа - очистка невозможна
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dyewywv.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\dyewywv.SYS');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 0p4h9x35.exe (gmer)
Код:
0p4h9x35.exe -del service dxdfpk
0p4h9x35.exe -del service dyewywv
0p4h9x35.exe -del file "C:\WINDOWS\system32\zrhbljb.dll"
0p4h9x35.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dxdfpk"
0p4h9x35.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dyewywv"
0p4h9x35.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dxdfpk"
0p4h9x35.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dyewywv"
0p4h9x35.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + новый лог gmer
C:\WINDOWS\system32\dllcache\atapi.sys замените на чистый с дистрибутива
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделал. В батовском файле выполнились только первые две строчки, на остальные сказало, что неизвестный модуль.
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
Обновите базы AVZ!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\dyewywv.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\dyewywv.sys');
BC_DeleteSvc('dyewywv');
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\dyewywv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\dyewywv');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\dyewywv');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\dyewywv');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Добрый день. Не получилось заменить файл atapi.sys на чистый из дистрибутива. Компьютер вообще перестал загружаться. Пришлось прибегнуть к радикальному способу и переставить операционку.
Спасибо огромное за помощь.
P.S. Логи делать?
-
Сообщение от
melnikov
Не получилось заменить файл atapi.sys на чистый
Хм... Вы вроде сказали
Сообщение от
melnikov
Сделал.
...
Если переустановили начисто, и все работает, то логи не надо.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.blg ( DrWEB: Trojan.Botnetlog.108, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
- c:\windows\system32\csimplayer.exe - Backdoor.Win32.HareBot.alv ( DrWEB: Trojan.MulDrop.52136 )
-