-
Junior Member
- Вес репутации
- 53
Kryptik.GO trojan
Здравствуйте!
Компьютер постоянно лезет в интернет и пытается скачать оттуда exe-файл (**n-bss.exe), в системе установлен NOD32 со свежими базами, который блокирует данный файл находя в нем вирус Kryptik.GO trojan.
Выполнил проверку NOD32 и CureI нашло лишь следущее:
Z:\TEMP\4AE.tmp
После выполнения скрипта "лечения/карантина и сбора информации для раздела "Помогите!" и перезагрузки компьютера NOD32 перестал обращаться с выше описанной блокировкой загрузки файла. Тем не менее, посчитал целесообразным создать тему и выполнить диагностику по конца.
С подобной проблемой в другой теме ознакомлен: http://virusinfo.info/showthread.php?t=62130
Прилагаю необходимые логи в соответсвии с правилами.
Заранее спасибо за ваше внимание к моей проблеме
Последний раз редактировалось Alex_Goodwin; 05.12.2009 в 22:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите с помощью HJT:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe urwh.djo kfcbqe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
2. Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\system32\ckvo.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
DeleteService('glaide32');
DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\ckvo.exe');
DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kamsoft');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
3. Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
4. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Карантин отправил.
Прилагаю новые логи:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteFile('C:\WINDOWS\system32\servises.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Закачайте quarantine.zip по ссылке вверху темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Не знаю, закачался ли новый файл quarantine.zip по ссылке вверху темы, так как мне сообщает: "Ошибка загрузки. Данный файл уже был загружен". Процесс повторял несколько раз.
(Новые логи еще не создал, пришлю в следующем сообщении, просто решил уведомить о выше написанном в соответствии с последним пунктом приложения 3 общих правил)
-
Хорошо, делайте новые логи
-
-
Junior Member
- Вес репутации
- 53
-
Плохого не видно. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Как я написал, проблема перестала давать о себе знать еще после первого выполнения скрипта "лечения/карантина и сбора информации для раздела "Помогите!"
А сейчас и подавно на вид все в порядке.
Если на этом все, то хочу еще раз поблагодарить. Сервис на 5+.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\ntfs_ext7.exe - Backdoor.Win32.Bredavi.bgg
-