Trojan.Kypes.2

Printable View

22.01.2010, 20:27
jekamark

Trojan.Kypes.2

Здравствуйте уважаемые специалисты! У меня Dr.Web нашел вирус. Да я и без него понял, что это вирус в процессах 2 названия одинаковых от пользователя - vjgqy.exe все норм но после 5 минут грузят систему на 50 ЦП. Помогите пожалуйста в решении проблемы. Очень прошу и еще: я их удалял, переименовывал, переустанавливал винду и даже полное форматирование делал, но когда после установки новой винды на чистый хард, захожу, то они снова есть но уже под другим названием того же типа .exe как избавиться от него???
+ на этот сайт зашел не сразу так как вообще выбивало из любого браузера АНТИВИРУСНЫЕ сайты. Установка антивирусов не идет. Я завершаю древо процессов вызванных вирусом и где-то 30 минут он не трогает а потом опять врубается... :(:(:(
Пришлось заного создавать так как в правке нельзя прикреплять ФАЙЛЫ!
22.01.2010, 20:32
jekamark

Хотел сам посмотреть, что в этих архивах, так вирус проходу не дает :( только открываю выбрасывает... и пока сделал все по правилам намучался :(
23.01.2010, 00:12
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('F:\slncpubqvi.bat','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\slncpubqvi.bat','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\slncpubqvi.bat','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\slncpubqvi.bat','');
QuarantineFile('C:\autorun.inf','');
TerminateProcessByName('c:\temp\vjgqy.exe');
QuarantineFile('c:\temp\vjgqy.exe','');
QuarantineFile('C:\WINDOWS\system32\zzieykyugaefxlbal.exe','');
QuarantineFile('C:\WINDOWS\system32\tvgeaoecqmsvpfxylny.exe','');
QuarantineFile('C:\WINDOWS\system32\ijtqlynkxsxzshyykl.exe','');
QuarantineFile('C:\WINDOWS\system32\gjvurgxwliptofyaordc.exe','');
QuarantineFile('C:\Temp\tvgeaoecqmsvpfxylny.exe','');
QuarantineFile('C:\Temp\srzunylgrknnerge.exe .','');
QuarantineFile('C:\Temp\ijtqlynkxsxzshyykl.exe','');
TerminateProcessByName('c:\windows\system32\srzunylgrknnerge.exe');
QuarantineFile('c:\windows\system32\srzunylgrknnerge.exe','');
DeleteFile('c:\windows\system32\srzunylgrknnerge.exe');
DeleteFile('c:\temp\vjgqy.exe');
DeleteFile('C:\Temp\ijtqlynkxsxzshyykl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kfjapwfwdsrn');
DeleteFile('C:\Temp\srzunylgrknnerge.exe .');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','zzieykyugaefxlbal');
DeleteFile('C:\Temp\tvgeaoecqmsvpfxylny.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ijtqlynkxsxzshyykl');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','nhkaoucsymk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','jfkcsakckaaxl');
DeleteFile('C:\WINDOWS\system32\gjvurgxwliptofyaordc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nlsmeoauewyxnzn');
DeleteFile('C:\WINDOWS\system32\ijtqlynkxsxzshyykl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','jfkcsakckaaxl');
DeleteFile('C:\WINDOWS\system32\tvgeaoecqmsvpfxylny.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','srzunylgrknnerge');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','khngxgrktkljyj');
DeleteFile('C:\WINDOWS\system32\zzieykyugaefxlbal.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kfjapwfwdsrn');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\slncpubqvi.bat');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\slncpubqvi.bat');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\slncpubqvi.bat');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\slncpubqvi.bat');
DeleteFileMask('c:\temp', '*.*', true);
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
DelCLSID('D4027C7F-154A-4066-A1AD-4243D8127440');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Закачайте карантин по красной ссылке вверху. Повторите логи
23.01.2010, 00:39
jekamark

Вот новые логи, в процессах я уже не вижу его.
23.01.2010, 01:20
vegas

Где карантин?
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\khngxgrktkljyj.bat','');
QuarantineFile('C:\kfjapwfwdsrn.bat','');
DeleteFile('C:\kfjapwfwdsrn.bat');
DeleteFile('C:\khngxgrktkljyj.bat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
Карантин закачайте, логи повторите
23.01.2010, 02:07
jekamark

Вот логи, карантин отправил.
Подскажите плз, надежное и удобное антивирусное обеспечение.
23.01.2010, 14:42
vegas

[code]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)[/code]
Скачайте и установите SP3 и вышедшие после него обновления, с такими дырами в системе ни один антивирус не спасет. Браузер до IE8 обновите

[QUOTE='jekamark;567950']Подскажите плз, надежное и удобное антивирусное обеспечение[/QUOTE]
Касперский или Norton
24.01.2010, 14:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]69[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\kfjapwfwdsrn.bat - [B]Backdoor.Win32.Zepfod.dr[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\khngxgrktkljyj.bat - [B]Backdoor.Win32.Zepfod.dr[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\slncpubqvi.bat - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\temp\ezltdwsnzhr.exe - [B]Trojan.Win32.Vilsel.pvn[/B] ( DrWEB: Trojan.Kypes.2, BitDefender: Win32.Worm.Agent.QDK, AVAST4: Win32:Renos-KY [Trj] )[*] c:\temp\ijtqlynkxsxzshyykl.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\temp\srzunylgrknnerge.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\temp\srzunylgrknnerge.exe . - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\temp\tvgeaoecqmsvpfxylny.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\temp\vjgqy.exe - [B]Trojan.Win32.Vilsel.pvn[/B] ( DrWEB: Trojan.Kypes.2, BitDefender: Win32.Worm.Agent.QDK, AVAST4: Win32:Renos-KY [Trj] )[*] c:\windows\system32\gjvurgxwliptofyaordc.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\windows\system32\ijtqlynkxsxzshyykl.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\windows\system32\srzunylgrknnerge.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\windows\system32\tvgeaoecqmsvpfxylny.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] c:\windows\system32\zzieykyugaefxlbal.exe - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] d:\slncpubqvi.bat - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] e:\slncpubqvi.bat - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] f:\slncpubqvi.bat - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[*] l:\slncpubqvi.bat - [B]Trojan.Win32.Crypt.bik[/B] ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )[/LIST][/LIST]