-
Junior Member
- Вес репутации
- 54
странный (хитрый) вирус криптик
Ни одна авирпрога (последние с обновлениями касп, дрвеб, нод) не смогла полностью вылечить его.
Нод назвал его как Kryptik.AJT (троян) - когда переходит по адресу 85,131,154,31/~pornicari/kajgana.exe
и Kryptik.AKG (троян) - когда переходит по адресу 85,131,154,31/~pornicari/sock.exe
Конкретнее:
Время от времени (минут через 20-30) запускается браузер (который по умолчанию в системе) и открывается один и тот же сайт с разными страницами (хорошо придумано для раскрутки сайта ) www. thenewspedia. com/ index.php/ components/ auto-and-trucks
В папке с темпами создаются файлы (создает вирус) 2 штуки (иногда 4). То могу удалить, то нет. В памяти нигде не могу обнаружить, в автозапусках не вижу.... Как его избавиться не понятно.
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\RECYCLER\S-1-5-21-5002001591-6870233537-910821766-1336\nissan.exe','');
QuarantineFile('C:\WINDOWS\system32\dll.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-5002001591-6870233537-910821766-1336\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи после перезагрузки.
Загрузить карантин по Правилам.
Последний раз редактировалось PavelA; 14.09.2009 в 15:40.
Причина: Добавил файлик
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Где вы нашли файлы ниссан? Ну не важно.
Скрипт выполнил. Новые логи прилагаю.
Карантин закачал по ссылке в моей теме с указанным там паролем.
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
-
Придется подождать ответа от ЛК по поводу ниссана.
'C:\WINDOWS\system32\dll.dll' - поищите через AVZ и пришлите.
Проблемы остались?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
1. Появилась другая проблема (часто сталкиваюсь, не знаю как решить).
Свойства папки - вид - показывать системные (или скрытые) файлы и папки - ни то ни другое не работает. Как с этим бороться - не знаю. Неск дней назад всё работало. После лечения сегодня от вирусов - перестало. Вхожу администратором, конечно.
2. Файл dll.dll на диске не найду (смотрю через ТоталКомм с просмотром скрытых файлов). Как найти через AVZ? Если через процессы, то нету тоже.
-
Junior Member
- Вес репутации
- 54
Вдогонку лог программы ГМЕР в приложении
Последний раз редактировалось blackcat72; 16.09.2009 в 17:07.
-
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
Код:
gmer.exe -del service rotscxkjoexymd
gmer.exe -del service rotscxtuicxgow
gmer.exe -del file "C:\WINDOWS\system32\drivers\rotscxbyusivvy.sys"
gmer.exe -del file "C:\WINDOWS\system32\rotscxbrftacbn.dll"
gmer.exe -del file "C:\WINDOWS\system32\rotscxmpxbhnvx.dat"
gmer.exe -del file "C:\WINDOWS\system32\rotscxumnmsqax.dll"
gmer.exe -del file "C:\WINDOWS\system32\rotscxvhelemov.dat"
gmer.exe -del file "C:\WINDOWS\system32\drivers\rotscxrhrbnpei.sys"
gmer.exe -del file "C:\WINDOWS\system32\rotscxqjbaecva.dll"
gmer.exe -del file "C:\WINDOWS\system32\rotscxmtfnvsgi.dat"
gmer.exe -del file "C:\WINDOWS\system32\rotscxcvtylkvc.dll"
gmer.exe -del file "C:\WINDOWS\system32\rotscxtiqxpfhb.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rotscxkjoexymd"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxtuicxgow"
gmer.exe -reboot
Запустите этот файл.
После перезагрузки очистите temp папки и сделайте новый лог gmer
-
-
Junior Member
- Вес репутации
- 54
Запустил, очистил (два темпа), сделал
Спасибо за сегодняшнюю работу (уже ухожу). Но еще жду ответа по логу и желательно насчет скрытых файлов.
Последний раз редактировалось blackcat72; 16.09.2009 в 17:07.
-
В логе чисто.
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что со скрытыми файлами?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Всё нормально. Проблемы решены.
Огромное спасибо.
Последний раз редактировалось blackcat72; 16.09.2009 в 15:08.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-5002001591-6870233537-910821766-1336\nissan.exe - P2P-Worm.Win32.Palevo.jph ( DrWEB: Win32.HLLW.Lime.18 )
-