1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена троян win32/Kryptik.

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Lesha_new, 5 дек 2016.

  1. Lesha_new

    Lesha_new Новый пользователь

    Сообщения:
    26
    Симпатии:
    0
    Добрый день, подхватил вирус win32/Kryptik.FKQA. При загрузке ПК постоянно открывается explorer и антивирусник NOD32 прерывает соединения с разными объектами. Пробовал чистить Malwarebytes Anti-Malware, но не помогло. Что можно сделать?
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
  4. Lesha_new

    Lesha_new Новый пользователь

    Сообщения:
    26
    Симпатии:
    0
     

    Вложения:

  5. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.134
    Симпатии:
    4.840
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('c:\documents and settings\home\local settings\application data\filesystemdriver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\documents and settings\home\local settings\application data\filesystemdriver\filesystemdriver.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
     DeleteFile('c:\documents and settings\home\local settings\application data\filesystemdriver\filesystemdriver.exe', '32');
     DeleteFileMask('c:\documents and settings\home\local settings\application data\filesystemdriver', '*', true);
     DeleteDirectory('c:\documents and settings\home\local settings\application data\filesystemdriver');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vzwjvvpevt');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков.
    Код (Text):
    >>> [HTTP] "C:\Documents and Settings\HOME\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"        -> ["C:\WINDOWS\system32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811008"]
    >>> [CMD][MASK] "C:\Documents and Settings\HOME\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk"    -> ["C:\WINDOWS\system32\cmd.exe"  =>> "/c start "" "hxxp://imatiro.ru/?utm_source=quicklaunch03&utm_content=6ac7408278bf483402647c4fde29c433&utm_term=acf2d3455a06545e13a13c932626e705&utm_d=20161201""]
    >>> [CMD][MASK][h][s] "C:\Documents and Settings\HOME\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"   -> ["C:\WINDOWS\system32\cmd.exe"  =>> /c start "" "hxxp://imatiro.ru/?utm_source=startlink03&utm_content=8e28c44c896d25fe988428402c272a9f&utm_term=A2E00A644C0209B3230059BDD1110099&utm_d=20161201"]
     
    Подготовьте лог AdwCleaner.
     
  6. Lesha_new

    Lesha_new Новый пользователь

    Сообщения:
    26
    Симпатии:
    0
    shestale, Все сделал. Можно как-то пояснить данный алгоритм действий, чтобы самому понять, что делается и для чего?!

    P.S. Антивирус уже не блокирует ничего и не находит. Браузер автоматически не запускается и не открывает различные страницы.
     

    Вложения:

  7. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.134
    Симпатии:
    4.840
    Удалите в AdwCleaner все найденные объекты.

    Не так просто объяснить...если есть желание этим серьёзно заняться, тогда вам сюда. По времени это, как минимум год-полтора.
    Ну а в двух словах...
    Вот:
    +
    Удалена малварь и почищены ярлыки.
     
  8. Lesha_new

    Lesha_new Новый пользователь

    Сообщения:
    26
    Симпатии:
    0
    shestale, Спасибо за информацию. Я так понимаю, моя проблема решена - тему можно закрывать.
     
  9. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.134
    Симпатии:
    4.840
    Еще немного осталось...
    Удалили? А лог?
    +
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
  10. Lesha_new

    Lesha_new Новый пользователь

    Сообщения:
    26
    Симпатии:
    0
    Да, удалил.

    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 06.12.2016 12:38:53
    Path starting: C:\Documents and Settings\HOME\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: HOME
    VersionXML: 3.58is-03.12.2016
    ___________________________________________________________________________

    Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
    Дата установки ОС: 18.11.2015 12:24:45
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE
    Системный диск: C: ФС: [NTFS] Емкость: [25.4 Гб] Занято: [18.5 Гб] Свободно: [6.9 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
    Internet Explorer 8.0.6001.18702
    Автоматическое обновление отключено
    Автоматическое обновление (wuauserv) - Служба остановлена
    Центр обеспечения безопасности (wscsvc) - Служба остановлена
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Службы терминалов (TermService) - Служба работает
    Служба обнаружения SSDP (SSDPSRV) - Служба работает
    Учетная запись гостя включена. Пароль не установлен.
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2007 v.12.0.6612.1000
    Microsoft Office 2010 x86 v.14.0.4763.1000
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    ESET NOD32 Antivirus 4.2 (включен и обновлен)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    McAfee Security Scan Plus v.3.11.376.2
    ESET NOD32 Antivirus v.4.2.76.1
    -------------------------- [ SecurityUtilities ] --------------------------
    Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.26 v.7.26.101 Внимание! Скачать обновления
    ^Необязательное обновление.^
    -------------------------------- [ Java ] ---------------------------------
    Java 7 Update 17 v.7.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe).
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
    ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
    Adobe Flash Player 22 PPAPI v.22.0.0.209 Внимание! Скачать обновления
    ------------------------------- [ Browser ] -------------------------------
    Opera 12.14.1738
    Opera Stable 34.0.2036.25 v.34.0.2036.25 Внимание! Скачать обновления
    ^Проверьте обновления через меню О программе!^
    Opera Stable 36.0.2130.80 v.36.0.2130.80 Внимание! Скачать обновления
    ^Проверьте обновления через меню О программе!^
    ----------------------------- [ EmailClient ] -----------------------------
    The Bat! Professional v5.3.8 v.5.3.8.0 Внимание! Скачать обновления
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files\Opera\36.0.2130.80\opera.exe v.36.0.2130.80
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.4.2.76.1
    ESET Service (ekrn) - Служба работает
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe v.4.2.76.1
    ----------------------------- [ End of Log ] ------------------------------
     
  11. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.134
    Симпатии:
    4.840
Загрузка...

Поделиться этой страницей