Показано с 1 по 19 из 19.

Kryptik/Oficla (Или что-нибудь ещё) (заявка № 73553)

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52

    Exclamation Kryptik/Oficla (Или что-нибудь ещё)

    6 месяцев назад поймал вирус Kryptik, который просто увеличивал время запуска "Мой компьютер" до 2 минут (примерно), если не включен интернет. Переустановил винду, 2 недели и откуда не возьмишь вирус снова начал атаковать систему , опять переустановил винду. Снова вирус, 3тья переустановка, в 4 раз вирус через месяц появился как svchost.exe сжирая этим процессом систему на 99%, снова переустановил. Сейчас , после 5 переустановки, прошло 2 месяца (после переустановки в 5 раз, через неделю опять вылез этот же вирус, изменяя файл userinit, но сам того не поняв, каждый день удаляя левые файлы в temp и system32 я изменил значение userinit на правильное и оно перестало меняться (Но на сайты drweb.com , касперского не пускало всё равно, ну я и плюнул на это). Сегодня , как обычно, проверял новости и т.д Ничего нового, единственное я скачал фильмы с dc++, перейдя по ссылках , которые расположены на медиа-портале моей сети, скачал, и обнаружил, что не запускаются фильмы с помощью media player classic , не обратил внимания, запустил с помощью встроенного Windows Media Player, потом обнаружил , что не запускается и Ventrilo.. Начал паниковать, запустил выборочную проверку диска C, нашло два файла инфицированных Oficla.AH , если не изменяет память, файлы были в папке DoctorWeb/1.tmp и 2 файл там же , с расширением .mmo .. Начал думать что я делал сегодня особенного, перешел в папку , где я скачивал фильмы и увидел, что у одного из фильмов расширение (не знаю, может это и не относится к вирусам) 1234.g.avi (при этом, я фильм этот не запускал). Далее нашел вирус krytik (опять -_-") и теперь ничего не находит...При этом, после 3 переустановки винды (Windows XP) я поставил файрволл и вирус оказывался на компе неведомым образом, проходя через Nod32 (обновляемый каждый день) и FireWall...
    Вообщем как-то так. По прежнему не пускает на сайты известных антивирусов и не запускает кодеки для просмотра видео (Media Player Classic) + Ventrilo. Прикрепил только 1 лог из-за того, что не запускается так же AVZ , и Cureit.. А если быть придельно точным, то не просто не запускаются, а запускаются и в тот же момент закрываются, т.е , если я загружу сейчас свою систему до 99% и запущу тот же Ventrilo, окно откроется, но из-за загруженности закроется не сразу, а если запустить после резета (к примеру), то оно даже не появится... С куреитом так же, запускается, пишет :"Вы соглашаетесь на бла-бла-бла" + "Теперь нажмите "Да" чтобы запустить быструю проверку" , нажимаешь "Да" и все, запускается следующее окно "Скачайте бесплатную полную версию", а окно проверки - нету (Ну или как с другими, оно просто самозакрылось). Так же недавно обнаружил, что не запускаются Launcher к играм, таким как world of warcraft к примеру..Что у этих всех программ общее Оо

    Логи не все потому-что программы не запускаются, об этом написано выше
    Последний раз редактировалось nexen; 14.03.2010 в 13:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Новый интересный симптом. Просмотрел я вконтакте видео, решил пересмотреть, после нажатия кнопки |> (Воспроизведение) и по прошествию пары секунд, Opera начала есть 99% системы Оо

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Переименуйте АВЗ в pong.pif и пробуйте сделать логи.

  5. #4
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Цитата Сообщение от shapel Посмотреть сообщение
    Переименуйте АВЗ в pong.pif и пробуйте сделать логи.
    Так же не запускается (закрывается)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Скачайте и запустите утилиту. Затем сделайте комплект логов по правилам.
    Последний раз редактировалось Шапельский Александр; 27.07.2010 в 11:49.

  7. #6
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    AVZ по прежнему не запускается, как и pong.pif .
    Kateskiller.exe в первый раз запуска (как я успел прочитать), написал что процесс lsass.exe инфицирован (Но он вроде не закрывается, т.к является критическим), в последующие разы запуска, выдавало вот такое окошко, как на скрине (p.s 1 раз 16, а не 8 выдало) Т.е , как написано, он каждый раз фиксирует и удаляет файлы и ключи. Значит они самообновляются : (
    Так же в журнале файрвола, снова появился процесс svchost.exe протокол UDP с пометкой "Использован кэш DNS" , заблокировано

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Если включено восстановление системы--отключите!
    Попробуйте сделать логи таким АВЗ

  9. #8
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Восстановление системы не было включено никогда.
    Засунул monk.pif в папку AVZ запустил, по началу подвис компьютер, как будто запуская программу, но потом развис и снова ничего не запустил (видимо опять закрылось окно)

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Несколько раз пришлось перезапустить, из-за того, что в файрволе ещё много встроенных защит оказалось (как же он тогда вирус уже 5 раз подряд пропускает Оо ), вроде завершилось всё нормально.
    p.s Так же теперь нет языковой панели в трее слева, выключить и включить её заного - не помогло и в cmd (ком. строке) русские буквы стали иероглифами, но Ventrilo теперь запускается, как и Media Player Classic
    Последний раз редактировалось nexen; 14.03.2010 в 16:42.

  12. #11
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Не знаю можно ли так, но : UP!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите ComboFix

    Языковая панель появилась?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

    Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

    p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

    p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

    p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : http://vkontakte.ru/video18799365_141212523 , если нужно..

    p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе?
    Последний раз редактировалось nexen; 15.03.2010 в 11:46.

  15. #14
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Цитата Сообщение от nexen Посмотреть сообщение
    Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

    Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

    p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

    p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

    p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : http://vkontakte.ru/video18799365_141212523 , если нужно..

    p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе?
    up пожалуйста :-(
    p.s Так же иногда сварачиваются окна, к примеру, играешь в игру, а она (сама по себе), свернулась..D: При этом, я даже к клавиатуре не прикосался

    Добавлено через 4 часа 7 минут

    Цитата Сообщение от nexen Посмотреть сообщение
    Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

    Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

    p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

    p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

    p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : http://vkontakte.ru/video18799365_141212523 , если нужно..

    p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе?
    Проблема так и не решена, хоть и после запуска ComboFix убрались некоторые симптомы, благодоря чему я смог сделать логи AVZ. Но на сайты drweb.com и подобные - не пускает.. А это значит, что компьютер все ещё болен, прошу, не игнорируйте мою проблему :-(
    Последний раз редактировалось nexen; 15.03.2010 в 16:30. Причина: Добавлено

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пуск - Выполнить
    Ввести route -f и нажать ОК (возможно потребуется пересоздать настройки сетевых подключений)
    Доступ не появился?

    Цитата Сообщение от nexen Посмотреть сообщение
    Причем, прописав combofix /uninstall
    Скорее всего прописали combofix /u

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gumpc.old 2nAKBMPANK');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пуск - Выполнить
    Ввести route -f и нажать ОК (возможно потребуется пересоздать настройки сетевых подключений)
    Доступ не появился?

    Скорее всего прописали combofix /u

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gumpc.old 2nAKBMPANK');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Нет, прописывал именно combofix /uninstall
    Да, на сайты drweb.com и касперского пускает (рад )
    AVZ выполнил, прикладываю логи , но вот что меня настараживает, стали видны некоторые скрытые файлы, скрин прилогается.
    p.s Создавать сет. подключения не пришлось, просто перезапустил интернет подключение
    p.p.s Так же, из-за того что в ходе проверок AVZ был перезапущен пару раз компьютер, языковая панель снова, как по волшебству, появилась
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось nexen; 15.03.2010 в 18:44.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Кроме устаревших баз AVZ, ничего плохого

    Цитата Сообщение от nexen Посмотреть сообщение
    стали видны некоторые скрытые файлы
    А при старте системы не предлагает выбрать вариант загрузки?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    22
    Вес репутации
    52
    Цитата Сообщение от thyrex Посмотреть сообщение
    Кроме устаревших баз AVZ, ничего плохого

    А при старте системы не предлагает выбрать вариант загрузки?
    Так же продолжается выбор Windows, но время на выбор 0 секунд, поэтому выбрать не успеваю и выбирается "По умолчанию".
    Только что включил компьютер, Outpost выдал отчет об ошибке, который отправил в компанию. А так же обновились базы Nod32, и он сразу же выдал вот такое :
    cagj.mmo в прошлый раз он обозначил как Oficla.AH при проверке, нижний экзешник в system32 обозначил как Kryptik.. Так что, симптомы ушли, проблема осталась, файлы вируса сами появляются на моем компе D: (При этом первый файл cagj.mmo в папке DoctorWeb)
    p.s Передал их на рассмотрение, он их удалил (проверил сам), но факт остается, они появляются вновь и вновь
    Изображения Изображения
    • Тип файла: jpg 123.JPG (31.2 Кб, 7 просмотров)
    Последний раз редактировалось nexen; 16.03.2010 в 07:00.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) nexen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Oficla.48 и куча других
      От tehnik34 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.08.2010, 12:16
    2. Ответов: 2
      Последнее сообщение: 23.07.2010, 12:57
    3. Доктор Веб: Trojan.Oficla формирует ботнет
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 25.03.2010, 17:16
    4. Win32/Oficla.AP что за зверь?
      От RED_ в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 20.11.2009, 17:39
    5. помогите пожалуйста WIN32\Oficla.F
      От andriysi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.09.2009, 12:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00626 seconds with 20 queries