Модификация Kryptik.DB(по NOD32)

Printable View

17.10.2010, 02:33
stanisluv

Модификация Kryptik.DB(по NOD32)

Всем привет. Вот что имею:

Вирус: Модификация Kryptik.DB(по NOD32)

Заражён: через клик по баннеру.

Симпомы:
1) не открываются сайты с антивирусами и сайт WU.
2) невозможно запустить NOD32, AVZ,HiJackThis, AVPTool
3) Explorer.exe вылетает если вызвать контестное меню
4) Explorer.exe раздувается до 300Мб+ при запуске.
5) Браузеры могут вообще не запускаться
6) IE8 запускается с обрезанным интерфейсом: имеется только заголок окна, и основное поле web-страницы.

Определяется: Только NOD32 и то частично. McAfee не определяет, CureIt -тоже. :(

Файлы вируса:
2010-10-16 20:19 . 2010-10-16 20:19 177664 ----a-w- c:\windows\system32\И;jД
2010-10-16 05:32 . 2010-10-16 05:32 175104 ----a-w- c:\windows\system32\ »I°[ЎVЂR
2010-10-16 05:12 . 2010-10-16 05:12 175104 ----a-w- c:\windows\system32\ K°Ї[ЎVЂR
2010-10-15 15:19 . 2010-10-15 15:19 171520 ----a-w- c:\windows\system32\алT‰[ЎVЂR
2010-10-15 14:31 . 2010-10-15 14:31 171520 ----a-w- c:\windows\system32\ ‹Я°[ЎVЂR
2010-10-15 14:29 . 2010-10-15 14:29 171520 ----a-w- c:\windows\system32\HФ^‰[ЎVЂR
Возможно есть ещё файлы.

На отдельной машине эти файлы никак себя не проявляют. Соответственно где-то должен быть триггер.

К посту прикрепляю лог ComboFix.

Вроде ничего не забыл.
Если что не так просьба сильно не бить.
17.10.2010, 02:50
Никита Соловьев

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\6c3f1498.exe
c:\windows\system32\dae4390.exe
c:\windows\system32\mfevtps.exe
c:\windows\system32\ldyevkg.exe

Folder::
c:\program files\Common Files\7449B298a
c:\documents and settings\fsfasdf

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

пробуйте запустить avz и сделать логи...
17.10.2010, 04:40
stanisluv

Сделано. Проблемы были решены.
К сведению:
c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)
c:\program files\Common Files\7449B298a-пустая папка
c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.

Остальные логи будут чуть позже.
17.10.2010, 12:32
Никита Соловьев

[QUOTE='stanisluv;721345']К сведению:
c:\windows\system32\mfevtps.exe-файл от McAfee(это 100%)[/QUOTE]О McAfee у нас чётко написано в правилах
[QUOTE='stanisluv;721345']c:\program files\Common Files\7449B298a-пустая папка[/QUOTE]Это отстатки от вируса. Если Вам нужен мусор в системе - пожалуста, не будем их трогать

[QUOTE='stanisluv;721345']c:\documents and settings\fsfasdf-скорее всего остатки от специально созданной учётки.[/QUOTE]да, названием о многом говорит...
17.10.2010, 16:10
stanisluv

[QUOTE]О McAfee у нас чётко написано в правилах[/QUOTE]Я в курсе, и я его удалял через спец. утилиту от них же, но этот файл всё-таки остался.

[QUOTE]
да, названием о многом говорит...
[/QUOTE]

Я не о том. Просто было созданно несколько учётных записей чтобы хоть как-то работать с ОС. Возможно это были остатки одной из них. ;)

Обещанные логи:
17.10.2010, 21:17
Никита Соловьев

Чисто
17.10.2010, 22:32
stanisluv

Эм, в системе есть ещё 3 файла вируса. Нужны? Пока эи файлы вроде никто определить не может. Нужны?
17.10.2010, 23:14
Никита Соловьев

Где они располагаются?
17.10.2010, 23:34
stanisluv

Все пути указаны в первом посте
17.10.2010, 23:43
Никита Соловьев

Это не файлы, а какие-то глюки кодировки
18.10.2010, 00:05
stanisluv

нет, это именно файлы вируса. Причём вирус этими же файлами и плодится. Видно по первому логу ComboFix. Сами смотрите:
18.10.2010, 16:45
Никита Соловьев

Согласен с Вами.

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\*»I°[ЎVЂR
c:\windows\system32\*K°Ї[ЎVЂR
c:\windows\system32\алT‰[ЎVЂR
c:\windows\system32\*‹Я°[ЎVЂR
c:\windows\system32\HФ^‰[ЎVЂR

Folder::

Registry::

[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
18.10.2010, 17:35
stanisluv

Спасибо за помощь, но я имел ввиду нужны ли вам эти файлы или нет? например, для анализа. Сами файлы пока удалять не буду т.к.:
1. Они уже не активны.
2. Я отослал их в ESET и McAfee и они нужны будут чтобы оттестировать обновления баз.
Вот как-то так. ;)