Trojan.Kypes.2

**jekamark** · 22.01.2010, 20:27

Здравствуйте уважаемые специалисты! У меня Dr.Web нашел вирус. Да я и без него понял, что это вирус в процессах 2 названия одинаковых от пользователя - vjgqy.exe все норм но после 5 минут грузят систему на 50 ЦП. Помогите пожалуйста в решении проблемы. Очень прошу и еще: я их удалял, переименовывал, переустанавливал винду и даже полное форматирование делал, но когда после установки новой винды на чистый хард, захожу, то они снова есть но уже под другим названием того же типа .exe как избавиться от него???
+ на этот сайт зашел не сразу так как вообще выбивало из любого браузера АНТИВИРУСНЫЕ сайты. Установка антивирусов не идет. Я завершаю древо процессов вызванных вирусом и где-то 30 минут он не трогает а потом опять врубается...

Пришлось заного создавать так как в правке нельзя прикреплять ФАЙЛЫ!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**jekamark** · 22.01.2010, 20:32

Хотел сам посмотреть, что в этих архивах, так вирус проходу не дает

только открываю выбрасывает... и пока сделал все по правилам намучался

**vegas** · 23.01.2010, 00:12

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('F:\slncpubqvi.bat','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('E:\slncpubqvi.bat','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('D:\slncpubqvi.bat','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\slncpubqvi.bat','');
 QuarantineFile('C:\autorun.inf','');
 TerminateProcessByName('c:\temp\vjgqy.exe');
 QuarantineFile('c:\temp\vjgqy.exe','');
 QuarantineFile('C:\WINDOWS\system32\zzieykyugaefxlbal.exe','');
 QuarantineFile('C:\WINDOWS\system32\tvgeaoecqmsvpfxylny.exe','');
 QuarantineFile('C:\WINDOWS\system32\ijtqlynkxsxzshyykl.exe','');
 QuarantineFile('C:\WINDOWS\system32\gjvurgxwliptofyaordc.exe','');
 QuarantineFile('C:\Temp\tvgeaoecqmsvpfxylny.exe','');
 QuarantineFile('C:\Temp\srzunylgrknnerge.exe .','');
 QuarantineFile('C:\Temp\ijtqlynkxsxzshyykl.exe','');
 TerminateProcessByName('c:\windows\system32\srzunylgrknnerge.exe');
 QuarantineFile('c:\windows\system32\srzunylgrknnerge.exe','');
 DeleteFile('c:\windows\system32\srzunylgrknnerge.exe');
 DeleteFile('c:\temp\vjgqy.exe');
 DeleteFile('C:\Temp\ijtqlynkxsxzshyykl.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kfjapwfwdsrn');
 DeleteFile('C:\Temp\srzunylgrknnerge.exe .');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','zzieykyugaefxlbal');
 DeleteFile('C:\Temp\tvgeaoecqmsvpfxylny.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ijtqlynkxsxzshyykl');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','nhkaoucsymk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','jfkcsakckaaxl');
 DeleteFile('C:\WINDOWS\system32\gjvurgxwliptofyaordc.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nlsmeoauewyxnzn');
 DeleteFile('C:\WINDOWS\system32\ijtqlynkxsxzshyykl.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','jfkcsakckaaxl');
 DeleteFile('C:\WINDOWS\system32\tvgeaoecqmsvpfxylny.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','srzunylgrknnerge');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','khngxgrktkljyj');
 DeleteFile('C:\WINDOWS\system32\zzieykyugaefxlbal.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kfjapwfwdsrn');
 QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
 QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\slncpubqvi.bat');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\slncpubqvi.bat');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\slncpubqvi.bat');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\slncpubqvi.bat');
 DeleteFileMask('c:\temp', '*.*', true);
 DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
 DeleteDirectory('C:\Program Files\Ask.com');
 DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
 DelCLSID('D4027C7F-154A-4066-A1AD-4243D8127440');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Закачайте карантин по красной ссылке вверху. Повторите логи

**jekamark** · 23.01.2010, 00:39

Вот новые логи, в процессах я уже не вижу его.

**vegas** · 23.01.2010, 01:20

Где карантин?
Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\khngxgrktkljyj.bat','');
 QuarantineFile('C:\kfjapwfwdsrn.bat','');
 DeleteFile('C:\kfjapwfwdsrn.bat');
 DeleteFile('C:\khngxgrktkljyj.bat');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(17);
 RebootWindows(true);
end.

Карантин закачайте, логи повторите

**jekamark** · 23.01.2010, 02:07

Вот логи, карантин отправил.
Подскажите плз, надежное и удобное антивирусное обеспечение.

**vegas** · 23.01.2010, 14:42

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)

Скачайте и установите SP3 и вышедшие после него обновления, с такими дырами в системе ни один антивирус не спасет. Браузер до IE8 обновите

Сообщение от jekamark

Подскажите плз, надежное и удобное антивирусное обеспечение

Касперский или Norton

**CyberHelper** · 24.01.2010, 14:42

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 69
В ходе лечения обнаружены вредоносные программы:
1. c:\kfjapwfwdsrn.bat - Backdoor.Win32.Zepfod.dr ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
2. c:\khngxgrktkljyj.bat - Backdoor.Win32.Zepfod.dr ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
3. c:\slncpubqvi.bat - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
4. c:\temp\ezltdwsnzhr.exe - Trojan.Win32.Vilsel.pvn ( DrWEB: Trojan.Kypes.2, BitDefender: Win32.Worm.Agent.QDK, AVAST4: Win32:Renos-KY [Trj] )
5. c:\temp\ijtqlynkxsxzshyykl.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
6. c:\temp\srzunylgrknnerge.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
7. c:\temp\srzunylgrknnerge.exe . - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
8. c:\temp\tvgeaoecqmsvpfxylny.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
9. c:\temp\vjgqy.exe - Trojan.Win32.Vilsel.pvn ( DrWEB: Trojan.Kypes.2, BitDefender: Win32.Worm.Agent.QDK, AVAST4: Win32:Renos-KY [Trj] )
10. c:\windows\system32\gjvurgxwliptofyaordc.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
11. c:\windows\system32\ijtqlynkxsxzshyykl.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
12. c:\windows\system32\srzunylgrknnerge.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
13. c:\windows\system32\tvgeaoecqmsvpfxylny.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
14. c:\windows\system32\zzieykyugaefxlbal.exe - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
15. d:\slncpubqvi.bat - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
16. e:\slncpubqvi.bat - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
17. f:\slncpubqvi.bat - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )
18. l:\slncpubqvi.bat - Trojan.Win32.Crypt.bik ( BitDefender: Trojan.Generic.2923194, NOD32: Win32/AutoRun.Agent.UD worm, AVAST4: Win32:KillAV-NA [Trj] )

Trojan.Kypes.2 (заявка № 68278)

Опции темы

Trojan.Kypes.2

Итог лечения

Похожие темы

SOS! ПОмогите с вирусами msvmiode.exe,cfdrive32.exe,Trojan-PSW.Win32.LdPinch,Trojan.Inject. Trojan.AVKill.

Работа вирусов Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771

Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank

Trojan.DownLoader.37508, Trojan.MulDrop.8347, Trojan.Proxi.2507, Backdoor.Dozg

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

Ваши права в разделе