Win32/Kryptik.AVJ

Printable View

18.10.2009, 15:31
lavrov

Win32/Kryptik.AVJ

Здравствуйте,очень сильно тормозит комп,еще к тому же появилась прозрачная табличка с надписью-доступ в интернет заблокирован,пришлите смс,а НОД нашел это;Win32/Kryptik.AVJ. Помогите пожалуйста. Логи прилагаю.еще не открываются страницы в опере и в IE.
18.10.2009, 15:38
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\Администратор\application data\seres.exe');
TerminateProcessByName('c:\documents and settings\Администратор\restorer64_a.exe');
TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
TerminateProcessByName('c:\windows\temp\wpv651255703227.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\svcst.exe');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\WINDOWS\system32\cpcp.cpo','');
QuarantineFile('c:\windows\temp\wpv651255703227.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\svcst.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\seres.exe','');
QuarantineFile('c:\documents and settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\system32\restorer64_a.exe','');
DeleteFile('c:\windows\system32\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\application data\seres.exe');
DeleteFile('c:\documents and settings\Администратор\application data\svcst.exe');
DeleteFile('c:\windows\temp\wpv651255703227.exe');
DeleteFile('C:\WINDOWS\system32\cpcp.cpo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Сделайте новые логи
18.10.2009, 16:19
lavrov

новые логи

карантин отправил,новые логи сделал. Прозрачная табличка выдает следующий текст-Доступ в интернет заблокирован,в связи с нарушением программы Get Acelerator. И просит прислать смс,как это убрать??? Спасибо.
18.10.2009, 16:25
Никита Соловьев

Пофиксите в Hijackthis:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cpcp.cpo bef0regiiav[/CODE]

[QUOTE]Get Acelerator[/QUOTE]В логе нет информации об этой программе
18.10.2009, 16:36
lavrov

ответ

а что это может быть??? спасибо
18.10.2009, 16:39
Никита Соловьев

Похоже на СМС-вымогателя. Окно с надписью появляется при запуске браузера?
18.10.2009, 16:43
lavrov

нет,сразу после загрузки системы,т.е. оно мешает что либо делать.
18.10.2009, 17:05
Никита Соловьев

Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится. Пришлите карантин по правилам.
18.10.2009, 17:33
lavrov

сейча сделаю

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Спасибо тебе большое за помощь,все заработало!!! Нашел коды чтобы убрать это сообщение,всё исчезло. Еще раз спасибо!!!!!!!!!!!!!!!!
18.10.2009, 17:37
rubin

карантин прислать не забудьте
19.10.2009, 17:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\restorer64_a.exe - [B]Trojan-Downloader.Win32.Mutant.ftn[/B] ( DrWEB: Trojan.DownLoad.52152, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\администратор\главное меню\программы\автозагрузка\ikowin32.exe - [B]Trojan.Win32.Inject.akpv[/B] ( DrWEB: Trojan.Botnetlog.11 )[*] c:\windows\system32\cpcp.cpo - [B]Backdoor.Win32.Bredavi.ana[/B] ( DrWEB: Trojan.Advload.6, BitDefender: Backdoor.Generic.220022, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\restorer64_a.exe - [B]Trojan-Downloader.Win32.Mutant.ftn[/B] ( DrWEB: Trojan.DownLoad.52152, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\temp\wpv651255703227.exe - [B]Trojan-Proxy.Win32.Small.aeh[/B] ( DrWEB: Trojan.Proxy.6207, BitDefender: Trojan.Generic.2586459, AVAST4: Win32:Malware-gen )[/LIST][/LIST]