Kryptik.GO trojan

[uloseiwin]

Здравствуйте!

Компьютер постоянно лезет в интернет и пытается скачать оттуда exe-файл (**n-bss.exe), в системе установлен NOD32 со свежими базами, который блокирует данный файл находя в нем вирус Kryptik.GO trojan.

Выполнил проверку NOD32 и CureI нашло лишь следущее:
Z:\TEMP\4AE.tmp

После выполнения скрипта "лечения/карантина и сбора информации для раздела "Помогите!" и перезагрузки компьютера NOD32 перестал обращаться с выше описанной блокировкой загрузки файла. Тем не менее, посчитал целесообразным создать тему и выполнить диагностику по конца.

С подобной проблемой в другой теме ознакомлен: http://virusinfo.info/showthread.php?t=62130

Прилагаю необходимые логи в соответсвии с правилами.

Заранее спасибо за ваше внимание к моей проблеме

[Никита Соловьев]

1. Пофиксите с помощью HJT:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe urwh.djo kfcbqe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

2. Выполните скрипт в AVZ:

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
 QuarantineFile('C:\WINDOWS\system32\ckvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
 DeleteService('glaide32');
 DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\ckvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kamsoft');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3. Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

4. Сделайте новые логи

[uloseiwin]

Карантин отправил.

Прилагаю новые логи:

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Закачайте quarantine.zip по ссылке вверху темы

Сделайте новые логи

[uloseiwin]

Не знаю, закачался ли новый файл quarantine.zip по ссылке вверху темы, так как мне сообщает: "Ошибка загрузки. Данный файл уже был загружен". Процесс повторял несколько раз.
(Новые логи еще не создал, пришлю в следующем сообщении, просто решил уведомить о выше написанном в соответствии с последним пунктом приложения 3 общих правил)

[Никита Соловьев]

Хорошо, делайте новые логи

[uloseiwin]

Прилагаю новые логи:

[thyrex]

Плохого не видно. Проблема решена?

[uloseiwin]

Как я написал, проблема перестала давать о себе знать еще после первого выполнения скрипта "лечения/карантина и сбора информации для раздела "Помогите!"
А сейчас и подавно на вид все в порядке.

Если на этом все, то хочу еще раз поблагодарить. Сервис на 5+.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\ntfs_ext7.exe - Backdoor.Win32.Bredavi.bgg