-
Junior Member
- Вес репутации
- 64
Win32.Kryptik.FRV и Trojan.packed.20388. Лечил сам. Посмотрите все ли чисто.
Здравствуйте.
Пришел на работу, вставил флешку (диск I), и NOD32 тут же обнаружила на ней вирусы:
I:\DIJAMANTE\veciti.exe модифицированный Win32/Kryptik.FRV троянская программа очищен удалением (после следующего перезапуска) - изолирован ASP1\Pavel Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
Кроме того, на флешке в корне появился файл autorun.inf
Заглянул в логи NOD32
Вот одна из строчек
05.07.2010 15:54:32 файл http://[CENSORED]/csi/lasvegas244.exe модифицированный Win32/Kryptik.FCX троянская программа соединение прервано - изолирован ASP1\Pavel Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
И похожих строчек там несколько.
Т.е. как будто бы где-то в системе есть дырка, через которую вирус закачивает с интернета все новые собственные модификации.
Собственно, с этим мой вопрос и связан.
Что нужно сделать, чтобы эту дырку закрыть?
Cure-it при проверке нашел следующие вирусы
c:\documents and settings\pavel\application data\qmkin.exe инфицирован Win32.HLLW.Autoruner.22584 - удален
c:\documents and settings\romanov\application data\mrpky.exe инфицирован Trojan.Packed.20388 - удален
Сейчас проблем не возникает, сделал логи, посмотрите, все ли в порядке.
Следует ли сделать что-то еще?
Да, и еще, это компьютер рабочий, в следующий раз за ним смогу появиться только в понедельник, 2 августа, в первой половине дня.
Последний раз редактировалось Pavel Taranenko; 29.07.2010 в 11:46.
Причина: Забыл поздороваться
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 64
-
- выполните такой скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\SetupP2C.cpl','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 64
Сделал.
Файл сохранён как 100729_123906_quarantine_4c513e2a20f01.zip
Размер файла 740276
MD5 3b99ee449e52a0d3f45162e1ba57e83d
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 64
Выполнил скрипт ScanVuln.txt.
Вот его отчет:
Поиск критических уязвимостей
MS10-035 Накопительное обновление безопасности для браузера Internet Explorer
MS10-042 Уязвимость в Центре справки и поддержки Windows
Уязвимости в Adobe Flash Player для Internet Explorer
Установил обновления по содержащимся в лог-файле ссылкам.
При повторном выполнении скрипта уязвимостей не выявлено.
Описанные в первом сообщении темы симптомы больше не возникают.
Огромное спасибо за помощь.
У меня вопросов по этой теме не осталось.
Думаю, тему можно закрывать.
-
Junior Member
- Вес репутации
- 64
Здравствуйте.
Еще одну вещь мы упустили.
В реестре по следующему пути
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
осталось следующее значение параметра Shell
explorer.exe,C:\Documents and Settings\Pavel\Application Data\qmkin.exe
Исправил следующим образом
avz - менеджер автозапуска - системные ключи.
Нашел указанную выше строчку.
Поставил на нее курсор.
И нажал кнопку "восстановить значение по умолчанию".
Теперь вроде бы все
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-