kryptik.cf

Printable View

16.12.2008, 23:44
loa

Вложений: 3

kryptik.cf

Здравствуйте,

NOD32 сигнализировал о вирусе kryptik.cf.
Пролез он, вероятнее всего, через chrome.

Как рекомендовано в методичке, запустил cureit (нашел 10 разных подозрительных объектов), потом скрипты. После cureit антивирус опять ругался, уже на что-то другое "черве-троянообразное".

Подозрительна постоянная активность соединения с сетью. При этом загрузка сайтов тормозит, сообщение сюда с того компа не разместилось.

Скрипты прилагаю.

Заранее спасибо,
Олег.
17.12.2008, 00:20
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('nbf0565');
StopService('kor5eff');
StopService('hlo5443');
StopService('bsq60ec');
QuarantineFile('C:\WINDOWS\System32\drivers\hti8899.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\bsq60ec.sys','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteService('nbf0565');
DeleteService('kor5eff');
DeleteService('hlo5443');
DeleteService('bsq60ec');
DeleteFile('C:\WINDOWS\System32\drivers\hti8899.sys');
DeleteFile('C:\WINDOWS\System32\drivers\bsq60ec.sys');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('nbf0565');
BC_DeleteSvc('kor5eff');
BC_DeleteSvc('hlo5443');
BC_DeleteSvc('bsq60ec');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
17.12.2008, 23:43
loa

Господа,

Выполнить следующий шаг лечения не получается, потому что комп наотрез отказывается загружаться :(
Перегружался даже на начальном экране (где про версию биоса, объем памяти и т.п.). Что совсем странно.

В итоге удалось загрузиться только в safe mode. Запустил с горя еще раз cureit, он нашел зараженный файл в папке nod\infected ("карантинная"?) и в данный момент проверяет все диски.

Наверное, проще переставить ХР напрочь. Благо, там не так уж много чего реально нужного (и, наоборот, много мусора за почти три года без переустановки). И сразу забаррикадироваться против напасти как следует :)
18.12.2008, 11:36
Rene-gad

[QUOTE=loa;323449]
В итоге удалось загрузиться только в safe mode[/QUOTE]Скрипт можно выполнить и в безопасном режиме - хуже не будет. А переставить ось никогда не поздно. Если надумаете переставлять - установите все сервис паки до первого выхода в сеть.
18.12.2008, 12:00
loa

[QUOTE=Rene-gad;323561]Скрипт можно выполнить и в безопасном режиме - хуже не будет. А переставить ось никогда не поздно. Если надумаете переставлять - установите все сервис паки до первого выхода в сеть.[/QUOTE]

Правильно ли я понимаю, что удаляемое (?) скриптом как раз может мешать нормальной загрузке?
18.12.2008, 12:03
Rene-gad

[QUOTE=loa;323567]Правильно ли я понимаю, что удаляемое (?) скриптом как раз может мешать нормальной загрузке?[/QUOTE]Давайте выполним скрипт, закачаем карантин по правилам и подождем ответа из Вирлаба :xmas: Гадание по руке не делаем... :cool:
18.12.2008, 12:08
loa

[QUOTE=Rene-gad;323569]Давайте выполним скрипт, закачаем карантин по правилам и подождем ответа из Вирлаба :xmas: Гадание по руке не делаем... :cool:[/QUOTE]

OK :)
Стоит ли до скрипта запустить второй сканер (как указано в самом начале "правил")? Или это в данный момент без толку?
18.12.2008, 12:14
Rene-gad

[QUOTE=loa;323572]Стоит ли до скрипта запустить второй сканер[/QUOTE]Вы имеете ввиду АВПТул? Вы же уже Куреитом проверялись! Не нужно.
18.12.2008, 23:05
loa

Ясно. Вечером поставлю больному очередную клизму :)

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 46 минут[/I][/B][/color][/size]

Больной с трудом принял клизму в виде скрипта, и после нее ему совсем поплохело. Не загружается ни в каком режиме. Черный экран с курсором мышки.

С горем-пополам из черного экрана в safe mode через ctrl-alt-del добрался до cmd, исталлировал (!) far :) Благо, он сразу потом запускается. Сохранил что надо было с диска c: на другие и буду его форматить/переставлять винду.

За помощь, тем не менее, спасибо!
Как минимум, я выяснил, что nod32 надо срочно менять на что-либо "более прочное".