-
Junior Member
- Вес репутации
- 52
троян win32/Kryptik.CNF
Добрый день.
Со вчерашнего дня NOD32 стал предупреждать об обнаружении трояна:
файл:
\DOCUME~1\admin\LOCALS~1\Temp\67.tmp
Вирус:
модифицированный Win32/Kryptik.CNF троян
Комментарий:
Событие в новом файле, созданном приложением C:\WINDOWS\system32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
файл:
\DOCUME~1\admin\LOCALS~1\Temp\6A.tmp
Вирус:
модифицированный Win32/Kryptik.CNF троян
Комментарий:
Событие в новом файле, созданном приложением C:\WINDOWS\system32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
Такие вот сообщение выпадают по 2 штуки раз или два в час.
Хотелось бы избавиться от етого паразита. Заранее спасибо за помощь =)
Последний раз редактировалось klukva; 25.02.2010 в 13:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, отключите компьютер от интернета, а также антивирус и/или файрвол.
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\setup.exe','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\uvro.uyo','');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DeleteFile('C:\WINDOWS\system32\uvro.uyo');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\admin\Application Data\CMedia','*.*',true);
DeleteDirectory('C:\Documents and Settings\admin\Application Data\CMedia');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
'C:\setup.exe' - файл знаком или нет?
-
-
Junior Member
- Вес репутации
- 52
такс, пофиксила, скрипт выполнила, карантин отправила, сейчас сделаю новые логи..
файл сетап не знаком, но не исключаю возможности, что ето безвредный установщик какой-нибудь полезности, а я просто про него забыла (2 месяца назад создан)
Последний раз редактировалось klukva; 25.02.2010 в 15:10.
-
Junior Member
- Вес репутации
- 52
прикрепляю логи
и, кажется, по ссылке "Прислать запрошенный карантин" отправила не совсем то, что нужно.. отправить заново так, как в правилах описано?
-
да прислать карантин по правилам
-
-
Junior Member
- Вес репутации
- 52
карантин отправила
спасибо за помощь!
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe (file missing)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\admin\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\admin\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
2. Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
вот это
Windows XP SP2
Internet Explorer v6.00 SP2
- Вы обновите
- SP2 обновите до Service Pack 3(может потребоваться активация)
- поставите все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
после обновления
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
polword, пофиксила и скрипт выполнила, обновлять сп и ие может быть буду, но позже
собственно, нод32 уже не ругается на трояна, так что проблема решена, еще раз спасибо за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.agch ( DrWEB: Trojan.PWS.Panda.271, BitDefender: Gen:Heur.Krypt.5, AVAST4: Win32:Malware-gen )
- c:\windows\system32\uvro.uyo - Trojan-Downloader.Win32.Agent.dgeg
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-
