Показано с 1 по 8 из 8.

Win32.Kryptik.FRV и Trojan.packed.20388. Лечил сам. Посмотрите все ли чисто. (заявка № 84094)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    37

    Thumbs up Win32.Kryptik.FRV и Trojan.packed.20388. Лечил сам. Посмотрите все ли чисто.

    Здравствуйте.

    Пришел на работу, вставил флешку (диск I), и NOD32 тут же обнаружила на ней вирусы:
    I:\DIJAMANTE\veciti.exe модифицированный Win32/Kryptik.FRV троянская программа очищен удалением (после следующего перезапуска) - изолирован ASP1\Pavel Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
    Кроме того, на флешке в корне появился файл autorun.inf
    Заглянул в логи NOD32
    Вот одна из строчек
    05.07.2010 15:54:32 файл http://[CENSORED]/csi/lasvegas244.exe модифицированный Win32/Kryptik.FCX троянская программа соединение прервано - изолирован ASP1\Pavel Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
    И похожих строчек там несколько.

    Т.е. как будто бы где-то в системе есть дырка, через которую вирус закачивает с интернета все новые собственные модификации.
    Собственно, с этим мой вопрос и связан.
    Что нужно сделать, чтобы эту дырку закрыть?

    Cure-it при проверке нашел следующие вирусы
    c:\documents and settings\pavel\application data\qmkin.exe инфицирован Win32.HLLW.Autoruner.22584 - удален
    c:\documents and settings\romanov\application data\mrpky.exe инфицирован Trojan.Packed.20388 - удален

    Сейчас проблем не возникает, сделал логи, посмотрите, все ли в порядке.
    Следует ли сделать что-то еще?

    Да, и еще, это компьютер рабочий, в следующий раз за ним смогу появиться только в понедельник, 2 августа, в первой половине дня.
    Последний раз редактировалось Pavel Taranenko; 29.07.2010 в 11:46. Причина: Забыл поздороваться

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    37
    Логи сделал, прилагаю.
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - выполните такой скрипт
    Код:
    begin
      QuarantineFile('C:\WINDOWS\system32\SetupP2C.cpl','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  5. #4
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    37
    Сделал.
    Файл сохранён как 100729_123906_quarantine_4c513e2a20f01.zip
    Размер файла 740276
    MD5 3b99ee449e52a0d3f45162e1ba57e83d

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.

  7. #6
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    37
    Выполнил скрипт ScanVuln.txt.

    Вот его отчет:
    Поиск критических уязвимостей
    MS10-035 Накопительное обновление безопасности для браузера Internet Explorer
    MS10-042 Уязвимость в Центре справки и поддержки Windows
    Уязвимости в Adobe Flash Player для Internet Explorer

    Установил обновления по содержащимся в лог-файле ссылкам.
    При повторном выполнении скрипта уязвимостей не выявлено.

    Описанные в первом сообщении темы симптомы больше не возникают.

    Огромное спасибо за помощь.

    У меня вопросов по этой теме не осталось.
    Думаю, тему можно закрывать.

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    37
    Здравствуйте.
    Еще одну вещь мы упустили.
    В реестре по следующему пути
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    осталось следующее значение параметра Shell
    explorer.exe,C:\Documents and Settings\Pavel\Application Data\qmkin.exe
    Исправил следующим образом
    avz - менеджер автозапуска - системные ключи.
    Нашел указанную выше строчку.
    Поставил на нее курсор.
    И нажал кнопку "восстановить значение по умолчанию".

    Теперь вроде бы все

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Pavel Taranenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32/Kryptik and Win32/Packed....
      От dieter65 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.10.2010, 15:12
    2. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    3. Trojan.packed.20388 Помогите!
      От rcarlos в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.08.2010, 15:10
    4. Trojan.Packed 20388; stara.exe
      От Novio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2010, 15:41
    5. Ответов: 1
      Последнее сообщение: 01.06.2010, 17:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00374 seconds with 21 queries