Win32/Kryptik.VE

Printable View

13.11.2009, 11:08
da_vin4i

Вложений: 1

Win32/Kryptik.VE

Добрый день, недавно начало появляться сообщение от NOD32

13.11.2009 9:00:09 Фильтр HTTP файл [URL]httр://xx.xxx.xxx.xx/ruts.exe[/URL] модифицированный Win32/Kryptik.VE троянская программа соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe.
13.11.2009 8:55:09 Фильтр HTTP файл [URL]httр://xx.xxx.xxx.xx/ruts.exe[/URL] модифицированный Win32/Kryptik.VE троянская программа соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe.

Сначало это счастье ломилось через файл spoolsv.exe но его через лайв винду я удалил.Но оно не унимается и каждые 5 минут отправляет, судя по логом инфу кудато далеко.В процессах и автозагрузках все вырубил но вот за svсhost браться боюсь потому что знаю к чему это может привести.Прошу вас товарищи помогите.

Заранее благодарен за потраченное на меня время.

P.s. Поискал на форуме аналогичных тем вроде нет.(есть одна но там другая модификация Kryptik и скрипт не помог)
13.11.2009, 11:40
light59

Где лог virusinfo_syscheck.zip ?
Ссылки удалите из сообщения.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

spoolsv.exe случайно не в system32 находился? Если да, то это файл системный. Судя по логу его вы и грохнули.
13.11.2009, 12:35
da_vin4i

Да он был в той папке, думал что это вирусная программка поэтому удалил.Гуглил интернет и там сказали что его можно удалить т к это вирус.А файла какого там нет вложенного я не знаю все сделал четко по инструкции и все архивы которые получились выложил даже не открывая.ССылки уже убрал..
13.11.2009, 13:00
thyrex

[QUOTE='da_vin4i;507848']А файла какого там нет вложенного я не знаю все сделал четко по инструкции [/QUOTE]Похоже пункт 2 раздела Диагностика пропустили
13.11.2009, 13:00
light59

Проверку антивирусными утилитами делали?

Очистите темп папки и прочий мусор [URL="http://virusinfo.info/showthread.php?t=10025"]http://virusinfo.info/showthread.php?t=10025[/URL]
spoolsv.exe на место верните.
13.11.2009, 20:44
da_vin4i

Выкладываю недостающий файл
13.11.2009, 21:30
da_vin4i

[QUOTE=light59;507879]Проверку антивирусными утилитами делали?

Очистите темп папки и прочий мусор [URL="http://virusinfo.info/showthread.php?t=10025"]http://virusinfo.info/showthread.php?t=10025[/URL]
spoolsv.exe на место верните.[/QUOTE]

Все равно пытается ломиться на удаленный сервер.

[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]

Теперь еще всплывает вот это

13.11.2009 21:26:39 Фильтр HTTP файл [url]http://xx.xxx.xxx.xxx/ga-v9012_setup.exe[/url] модифицированный Win32/TrojanDropper.Toasm.A троянская программа соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe.
13.11.2009, 21:59
light59

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
14.11.2009, 14:59
Alex_Goodwin

Скачайте и запустите вот эту утилиту [url]http://www.secureblog.info/files/TDSSKiller.rar[/url]