Показано с 1 по 13 из 13.

Модификация Kryptik.DB(по NOD32) (заявка № 90056)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23

    Модификация Kryptik.DB(по NOD32)

    Всем привет. Вот что имею:

    Вирус: Модификация Kryptik.DB(по NOD32)

    Заражён: через клик по баннеру.

    Симпомы:
    1) не открываются сайты с антивирусами и сайт WU.
    2) невозможно запустить NOD32, AVZ,HiJackThis, AVPTool
    3) Explorer.exe вылетает если вызвать контестное меню
    4) Explorer.exe раздувается до 300Мб+ при запуске.
    5) Браузеры могут вообще не запускаться
    6) IE8 запускается с обрезанным интерфейсом: имеется только заголок окна, и основное поле web-страницы.

    Определяется: Только NOD32 и то частично. McAfee не определяет, CureIt -тоже.

    Файлы вируса:
    2010-10-16 20:19 . 2010-10-16 20:19 177664 ----a-w- c:\windows\system32\И;jД
    2010-10-16 05:32 . 2010-10-16 05:32 175104 ----a-w- c:\windows\system32\ »I°[ЎVЂR
    2010-10-16 05:12 . 2010-10-16 05:12 175104 ----a-w- c:\windows\system32\ K°Ї[ЎVЂR
    2010-10-15 15:19 . 2010-10-15 15:19 171520 ----a-w- c:\windows\system32\алT‰[ЎVЂR
    2010-10-15 14:31 . 2010-10-15 14:31 171520 ----a-w- c:\windows\system32\ ‹Я°[ЎVЂR
    2010-10-15 14:29 . 2010-10-15 14:29 171520 ----a-w- c:\windows\system32\HФ^‰[ЎVЂR
    Возможно есть ещё файлы.

    На отдельной машине эти файлы никак себя не проявляют. Соответственно где-то должен быть триггер.

    К посту прикрепляю лог ComboFix.

    Вроде ничего не забыл.
    Если что не так просьба сильно не бить.
    Вложения Вложения
    Последний раз редактировалось stanisluv; 17.10.2010 в 02:48.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\6c3f1498.exe
    c:\windows\system32\dae4390.exe
    c:\windows\system32\mfevtps.exe
    c:\windows\system32\ldyevkg.exe
    
    
    Folder::
    c:\program files\Common Files\7449B298a
    c:\documents and settings\fsfasdf
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    пробуйте запустить avz и сделать логи...

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    Сделано. Проблемы были решены.
    К сведению:
    c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)
    c:\program files\Common Files\7449B298a-пустая папка
    c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.

    Остальные логи будут чуть позже.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Цитата Сообщение от stanisluv Посмотреть сообщение
    К сведению:
    c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)
    О McAfee у нас чётко написано в правилах
    Цитата Сообщение от stanisluv Посмотреть сообщение
    c:\program files\Common Files\7449B298a-пустая папка
    Это отстатки от вируса. Если Вам нужен мусор в системе - пожалуста, не будем их трогать

    Цитата Сообщение от stanisluv Посмотреть сообщение
    c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.
    да, названием о многом говорит...

  6. #5
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    О McAfee у нас чётко написано в правилах
    Я в курсе, и я его удалял через спец. утилиту от них же, но этот файл всё-таки остался.

    да, названием о многом говорит...
    Я не о том. Просто было созданно несколько учётных записей чтобы хоть как-то работать с ОС. Возможно это были остатки одной из них.

    Обещанные логи:
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Чисто

  8. #7
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    Эм, в системе есть ещё 3 файла вируса. Нужны? Пока эи файлы вроде никто определить не может. Нужны?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Где они располагаются?

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    Все пути указаны в первом посте

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Это не файлы, а какие-то глюки кодировки

  12. #11
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    нет, это именно файлы вируса. Причём вирус этими же файлами и плодится. Видно по первому логу ComboFix. Сами смотрите:
    Изображения Изображения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Согласен с Вами.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\*»I°[ЎVЂR
    c:\windows\system32\*K°Ї[ЎVЂR
    c:\windows\system32\алT‰[ЎVЂR
    c:\windows\system32\*‹Я°[ЎVЂR
    c:\windows\system32\HФ^‰[ЎVЂR
    
    
    Folder::
    
    
    Registry::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    16.10.2010
    Сообщений
    13
    Вес репутации
    23
    Спасибо за помощь, но я имел ввиду нужны ли вам эти файлы или нет? например, для анализа. Сами файлы пока удалять не буду т.к.:
    1. Они уже не активны.
    2. Я отослал их в ESET и McAfee и они нужны будут чтобы оттестировать обновления баз.
    Вот как-то так.

  • Уважаемый(ая) stanisluv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 03.09.2010, 23:44
    2. Ответов: 7
      Последнее сообщение: 02.09.2010, 23:00
    3. nod32 обнаружил троян Kryptik.DOS
      От Somali в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.04.2010, 08:11
    4. NOD32 и NOD32 Smart Security сертифицированы для работы с Windows 7
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 14.02.2010, 15:54
    5. Ответов: 6
      Последнее сообщение: 09.02.2010, 00:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 20 queries