Win32/Kryptik.VF

Printable View

25.06.2009, 14:58
zipper_krew

Вложений: 3

Win32/Kryptik.VF

Создает файлы:

[QUOTE]25.06.2009 12:46:34 Защита в режиме реального времени файл C:\WINDOWS\System32\spool\PRINTERS\00145.SPL модифицированный Win32/Kryptik.VF троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.[/QUOTE]

Также во всех расшаренных папках создает примерное

[QUOTE]25.06.2009 12:10:44 Защита в режиме реального времени файл C:\Inventory\-= The Porn Collection =-\Blonde-stravaganza\VIDEO - Blonde-stravaganza.exe модифицированный Win32/Kryptik.VF троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.[/QUOTE]

Данные с Nod4 Smart Security

Также забивает расшаренные принтеры заданиями с названием "Удаленный документ низкого уровня"
25.06.2009, 15:29
Aleksandra

Похоже антивирус с ним справился. Сейчас вирус проявляет свою активность?
25.06.2009, 15:30
PavelA

выполнить:
[CODE]begin
QuarantineFile('d:\inv\collszapusk','');
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать новые логи.
25.06.2009, 15:31
zipper_krew

[QUOTE=Aleksandra;422794]Похоже антивирус с ним справился. Сейчас вирус проявляет свою активность?[/QUOTE]
Да, ребутаешь ПК, вновь создаются файлы и через некоторое время ставится очередь печати(логи созданны как раз в этот момент создания и постановки очереди печати)
25.06.2009, 15:32
Aleksandra

Тогда выполните все, что написал Павел.
25.06.2009, 15:38
zipper_krew

[QUOTE=PavelA;422796]выполнить:
[CODE]begin
.....
end.[/CODE]Прислать карантин по Правилам.
Сделать новые логи.[/QUOTE]
Выполнил скрипт, ПК перезапустился, но в карантин ничего не добавилось ибо скрипт выполнился с ошибкой, поэтому нет смысла заново создавать логи. collszapusk - это bat файл написанный мной , вреда он не приносит. Ещё варианты есть ?
25.06.2009, 15:44
Rene-gad

[QUOTE=zipper_krew;422808]скрипт выполнился с ошибкой, поэтому нет смысла заново создавать логи.[/QUOTE]Есть смысл. Давайте логи.
25.06.2009, 15:58
zipper_krew

Вложений: 3

Приаттачил новые логи

Также закинул на вирустотал: результат

[URL="http://www.virustotal.com/ru/analisis/8716a7f59290cf6048ea4fb4bc7d5bdc01b5790cda0fb0f02c946695696e126c-1245917564"]линк[/URL]

либо:

[URL="http://www.virustotal.com/ru/analisis/8716a7f59290cf6048ea4fb4bc7d5bdc01b5790cda0fb0f02c946695696e126c-1245931744"]линк2[/URL]
25.06.2009, 16:12
Rene-gad

В этой системе ничего подозрительного не видно.
Если папки расшарены - то искать нужно на всех ПК в Вашей сети.
25.06.2009, 16:49
zipper_krew

Вирь найден и убит на сетевом компе. Всем спасибо.