-
Junior Member
- Вес репутации
- 50
Модификация Kryptik.DB(по NOD32)
Всем привет. Вот что имею:
Вирус: Модификация Kryptik.DB(по NOD32)
Заражён: через клик по баннеру.
Симпомы:
1) не открываются сайты с антивирусами и сайт WU.
2) невозможно запустить NOD32, AVZ,HiJackThis, AVPTool
3) Explorer.exe вылетает если вызвать контестное меню
4) Explorer.exe раздувается до 300Мб+ при запуске.
5) Браузеры могут вообще не запускаться
6) IE8 запускается с обрезанным интерфейсом: имеется только заголок окна, и основное поле web-страницы.
Определяется: Только NOD32 и то частично. McAfee не определяет, CureIt -тоже.
Файлы вируса:
2010-10-16 20:19 . 2010-10-16 20:19 177664 ----a-w- c:\windows\system32\И;jД
2010-10-16 05:32 . 2010-10-16 05:32 175104 ----a-w- c:\windows\system32\ »I°[ЎVЂR
2010-10-16 05:12 . 2010-10-16 05:12 175104 ----a-w- c:\windows\system32\ K°Ї[ЎVЂR
2010-10-15 15:19 . 2010-10-15 15:19 171520 ----a-w- c:\windows\system32\алT‰[ЎVЂR
2010-10-15 14:31 . 2010-10-15 14:31 171520 ----a-w- c:\windows\system32\ ‹Я°[ЎVЂR
2010-10-15 14:29 . 2010-10-15 14:29 171520 ----a-w- c:\windows\system32\HФ^‰[ЎVЂR
Возможно есть ещё файлы.
На отдельной машине эти файлы никак себя не проявляют. Соответственно где-то должен быть триггер.
К посту прикрепляю лог ComboFix.
Вроде ничего не забыл.
Если что не так просьба сильно не бить.
Последний раз редактировалось stanisluv; 17.10.2010 в 02:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\6c3f1498.exe
c:\windows\system32\dae4390.exe
c:\windows\system32\mfevtps.exe
c:\windows\system32\ldyevkg.exe
Folder::
c:\program files\Common Files\7449B298a
c:\documents and settings\fsfasdf
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
пробуйте запустить avz и сделать логи...
-
-
Junior Member
- Вес репутации
- 50
Сделано. Проблемы были решены.
К сведению:
c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)
c:\program files\Common Files\7449B298a-пустая папка
c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.
Остальные логи будут чуть позже.
-
Сообщение от
stanisluv
К сведению:
c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)
О McAfee у нас чётко написано в правилах
Сообщение от
stanisluv
c:\program files\Common Files\7449B298a-пустая папка
Это отстатки от вируса. Если Вам нужен мусор в системе - пожалуста, не будем их трогать
Сообщение от
stanisluv
c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.
да, названием о многом говорит...
-
-
Junior Member
- Вес репутации
- 50
О McAfee у нас чётко написано в правилах
Я в курсе, и я его удалял через спец. утилиту от них же, но этот файл всё-таки остался.
да, названием о многом говорит...
Я не о том. Просто было созданно несколько учётных записей чтобы хоть как-то работать с ОС. Возможно это были остатки одной из них.
Обещанные логи:
-
-
-
Junior Member
- Вес репутации
- 50
Эм, в системе есть ещё 3 файла вируса. Нужны? Пока эи файлы вроде никто определить не может. Нужны?
-
-
-
Junior Member
- Вес репутации
- 50
Все пути указаны в первом посте
-
Это не файлы, а какие-то глюки кодировки
-
-
Junior Member
- Вес репутации
- 50
нет, это именно файлы вируса. Причём вирус этими же файлами и плодится. Видно по первому логу ComboFix. Сами смотрите:
-
Согласен с Вами.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\*»I°[ЎVЂR
c:\windows\system32\*K°Ї[ЎVЂR
c:\windows\system32\алT‰[ЎVЂR
c:\windows\system32\*‹Я°[ЎVЂR
c:\windows\system32\HФ^‰[ЎVЂR
Folder::
Registry::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Спасибо за помощь, но я имел ввиду нужны ли вам эти файлы или нет? например, для анализа. Сами файлы пока удалять не буду т.к.:
1. Они уже не активны.
2. Я отослал их в ESET и McAfee и они нужны будут чтобы оттестировать обновления баз.
Вот как-то так.