Kryptik.SQ

Printable View

17.06.2009, 10:20
vgik

Вложений: 3

Win32/Rootkit.Agent.ODG и Win32/Kryptik.SQ

Помогите, пожалуйста, вылечиться.
17.06.2009, 10:29
PavelA

Лог Gmer сделайте, плюс в AVZ установите AVZPM и повторите логи.

85.255.112.75,85.255.112.95 - DNS Ваши прописаны?
17.06.2009, 12:40
vgik

Вложений: 4

Нет, это не мой DNS. Я так понимаю вирус его правит каждый раз после перезагрузки.
17.06.2009, 13:14
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\windows\system32\drivers\MSIVXjgvuhkorridxbnpytpedckukvxibtwwg.sys');
QuarantineFile('C:\windows\system32\drivers\MSIVXjgvuhkorridxbnpytpedckukvxibtwwg.sys','');
QuarantineFile('C:\Program Files\Eraser\eraser.exe','');
QuarantineFile('C:\windows\system32\MSIVXctveucvpelkkyijcqrqcdiqqjodvmynl.dll','');
BC_DeleteFile('C:\windows\system32\MSIVXctveucvpelkkyijcqrqcdiqqjodvmynl.dll');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново все логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=48104[/url]
17.06.2009, 14:15
vgik

Вложений: 4

Карантин закачен.
17.06.2009, 14:28
PavelA

Скачайте AVZ из моей подписи и установите AVZPM. Перезагрузитесь, сделайте станд. скрипт №2. Пришлите полученный лог.
17.06.2009, 15:12
vgik

Вложений: 1

Пожалуйста.
17.06.2009, 16:03
PavelA

Сохранить код как gm.bat в директории где лежит Гмер и запустить
[CODE]gmer.exe -del service MSIVXjgvuhkorridxbnpytpedckukvxibtwwg.sys
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys"
gmer -reboot[/CODE]
После повторить лог Гмер.
17.06.2009, 16:25
vgik

Вложений: 1

Сделал как Вы сказали. Запустил батник. Ругнулся: DeleteService: Параметр задан неверно.
17.06.2009, 17:09
PavelA

Все нормально, теперь чисто.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Ответ из ЛК:[QUOTE]
jodvmynl.dll - Trojan.Win32.Agent.clxm

Этот файл определяется антивирусом. Обновите антивирусные базы.

vxibtwwg.sys - Trojan.Win32.Tdss.ahpr

Детектирование файла будет добавлено в следующее обновление[/QUOTE]
17.06.2009, 17:54
vgik

Спасибо огромное. Теперь риторический вопрос. Как обезопасится от очередного заражения этим паразитом? Через какие прорехи в системе он лезит?
17.06.2009, 18:00
Rene-gad

[QUOTE=vgik;418442]Как обезопаситься от очередного заражения этим паразитом? [/QUOTE]Начните с паразита, который в 50 см. от монитора сидит 8)
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]Заставьте его:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Почитать и сделать указанное [URL="http://virusinfo.info/showthread.php?t=30339"]тут[/URL] и [URL="http://security-advisory.ru/"]тут[/URL].
18.06.2009, 18:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\msivxjgvuhkorridxbnpytpedckukvxibtwwg.sys - [B]Trojan.Win32.Tdss.ahpr[/B] ( DrWEB: Trojan.Packed.2479 )[*] c:\windows\system32\msivxctveucvpelkkyijcqrqcdiqqjodvmynl.dll - [B]Trojan.Win32.Agent.clxm[/B] ( DrWEB: BackDoor.Tdss.223, BitDefender: Trojan.Generic.2020384 )[/LIST][/LIST]