Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Проблемы с Rootkit.Kryptik.AF и trojan (заявка № 65503)

  1. #1
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30

    Thumbs up Проблемы с Rootkit.Kryptik.AF и trojan

    Здравствуйте. Пару дней назад НОД обнаружил Rootkit.Kryptik.AF, по ряду файлов написал что очистка невозможна. После проверкой cureit еще троян удалил, далее cureit и NOD писали что вирусы не обнаружены, но комп тормозил очень сильно. Сегодня проверкой Tool Касперского еще какой-то троян попался. Ну и на последок, судя по созданному архивуvirusinfo_cure, AVZ также обнаружил подозрительные файлы. Помогите определить, содержит ли комп. вирусы и что делать. Заранее спасибо. Логи (за исключением virusinfo_cure) прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Samsung\Samsung New PC Studio\NPSMyExplorer.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\siszyd32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    end.
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Спасибо за быстрый ответ. Скрипт выполнил. Пункты 1-3 также. Новые логи прикрепляю. Не понял, какой карантин закачать, после выполнения скрипта или в AVZ после п.1-2.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Samsung\Samsung New PC Studio\NPSMyExplorer.exe','');
     QuarantineFile('C:\WINDOWS\fonts\services.exe','');
     DeleteFile('C:\WINDOWS\fonts\services.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Здравствуйте. С Новым годом! Карантин закачал. Новые логи прикрепляю.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Пофиксить в Hijack следующие строки:
    Код:
    O4 - HKUS\S-1-5-18\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     QuarantineFile('C:\WINDOWS\fonts\services.exe','');
     DeleteFile('C:\WINDOWS\fonts\services.exe');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Здравствуйте. Профиксил. Выполнил скрипт. В конце выполнения скрипта появилось окно NOD и показало что убил вирус и сразу началась перезагрузка. Но комп. выключился, но не перезагрузился. Пункты 1-3 диагностики сделал. Логи прикрепляю

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\fonts\services.exe');
     SysCleanAddFile('C:\WINDOWS\fonts\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Сделайте новые логи.
    Последний раз редактировалось snifer67; 04.01.2010 в 11:36.

  10. #9
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Здравствуйте. Новые логи. Терпения бы.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Пришлите этот файл: C:\WINDOWS\fonts\services.exe
    Как правильно искать и присылать, см. здесь http://virusinfo.info/showthread.php?t=4567
    Сделайте лог MBAM.

  12. #11
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Здравствуйте. По предложенному пути такого файла нет.C:\WINDOWS\fonts\services.exe Пробовал и через AVZ и через проводник (поиск)Файл services.exe есть в других директориях. Надо ли в связи с вышеизложенным делать лог MBAM?.

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    MBAM лог прикрепляю.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Владелец\Application Data\avdrn.dat','');
     BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
    
    Заражено значений реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

  16. #15
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Здравствуйте. Выполнил скрипт. карантин закачал. Далее удалил в МВАМ. При этом опять показало в результатах, что файл avdrn.dat заражен. Его не трогал.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Файл avdrn.dat--чистый, таков вердикт. Что с проблемой?

  18. #17
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    К скорости претензий нет. Как получить полную уверенность, что комп. чист? (в смысле, надо ли что-то еще сканировать?) . 10-ку рекомендаций после лечения прочитал, обязательно потрачу время на повышение безопасности. Хотя ребенок по сети лазит, то фильм, то песенка, так что не удивлюсь, если опять прийдется за помощью обращаться. Спасибо.

    Добавлено через 11 минут

    При перезагрузке компа выдало сообщение, что память обратилась к какому то адресу, адрес не может может быть таким-то и ошибка приложения cvxhost.exe
    Последний раз редактировалось larganka; 07.01.2010 в 01:03. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от larganka Посмотреть сообщение
    При перезагрузке компа выдало сообщение, что память обратилась к какому то адресу, адрес не может может быть таким-то и ошибка приложения cvxhost.exe
    Сделайте комплект логов.

  20. #19
    Junior Member Репутация
    Регистрация
    30.12.2009
    Сообщений
    14
    Вес репутации
    30
    Прилагаю новые логи

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('cvxhost.exe','');
     DeleteFile('cvxhost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  • Уважаемый(ая) larganka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Kryptik LBE trojan и проблемы с интернетом
      От Suna-no-Nami в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.03.2011, 00:29
    2. rootkit.kryptik.af не могу удалить
      От ElvisPresley в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.03.2010, 21:07
    3. Помогите очистить Rootkit.kryptik.AF
      От new в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.03.2010, 15:20
    4. Поймал Rootkit.Kryptik
      От Sostav-Prof в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.12.2009, 13:22
    5. Помогите избавиться от Rootkit.Kryptik.AF
      От Wofka777 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.12.2009, 09:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00927 seconds with 16 queries