Win32/Kryptik.OF троян

[QQQQQ]

лог сканера NOD 32 - C:\WINDOWS\system32\geBspqqP.dll - модифицированный Win32/Kryptik.OF троян

лог вирусов - C:\WINDOWS\system32\PqqpsBeg.ini

- C:\WINDOWS\system32\PqqpsBeg2.ini

файл не удаляется.

проверку утилитой CureIT не делала. после проверки NOD32 сразу AVZ, HijackThis, RSIT(это к тому,насколько будут...корректными что ли прикрепленные файлы).

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('jkkHBTMC.dll','');QuarantineFile('explorer7.exe','');QuarantineFile('WinCon.exe','');QuarantineFile('C:\WINDOWS\system32\qzgyrf.dll','');QuarantineFile('C:\WINDOWS\system32\iyrcbqyq.dll','');QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\RECYCLER\S-1-5-21-0922242164-6500388995-567611062-1450\f1.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Gpw42.sys','');QuarantineFile('C:\Windows\Temp\hpzsvs34b -k sv','');QuarantineFile('C:\WINDOWS\system32\geBspqqP.dll','');DeleteFile('C:\WINDOWS\system32\geBspqqP.dll');DeleteFile('C:\Windows\Temp\hpzsvs34b -k sv');DeleteFile('C:\WINDOWS\System32\Drivers\dtscsi.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Gpw42.sys');DeleteFile('C:\RECYCLER\S-1-5-21-0922242164-6500388995-567611062-1450\f1.exe');DeleteFile('C:\WINDOWS\services.exe');DeleteFile('C:\WINDOWS\system32\iyrcbqyq.dll');DeleteFile('C:\WINDOWS\system32\qzgyrf.dll');DeleteFile('WinCon.exe');DeleteFile('explorer7.exe');DeleteFile('jkkHBTMC.dll');DelCLSID('{cf53afab-4f9c-4000-9071-992eab802af3}');DelBHO('{f0a4f73d-0669-4ef2-8ddd-597827063582}');DelBHO('{750DE795-040B-45F0-B879-D67FE653AE78}');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на newvirus@kaspersky.com

2. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesC:\WINDOWS\system32\geBspqqP.dllC:\WINDOWS\system32\qzgyrf.dllC:\WINDOWS\services.exeexplorer7.exeC:\WINDOWS\System32\Drivers\Gpw42.sysG:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exeC:\file1.exeK:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exeC:\Windows\Temp\hpzsvs34a:Reg[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E6C25FF-0EC0-4E0E-BF74-37547992E0D0}][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0a4f73d-0669-4ef2-8ddd-597827063582}][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"services"=-"explorer732"=-"f843bd3c"=-[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHBTMC][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=-"{cf53afab-4f9c-4000-9071-992eab802af3}"=-[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"authentication packages"=-[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gpw42.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Gpw42.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}][HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]"C:\Windows\Temp\hpzsvs34a"="C:\Windows\Temp\hpzsvs34a:*:Enabled:Profiles"=-"G:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exe"="G:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exe:*:Enabled:MicroMix32"=-"C:\file1.exe"="C:\file1.exe:*:Enabled:explorer732"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40709046-dfe9-11da-a683-eae3abfac9fb}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{603c2022-2a13-11dd-ae0e-cf8f92ee99fa}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be7189c8-92ac-11dd-adf0-fde417ea08f7}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c22eea8c-39d4-11dd-ada2-c28e0ecc4786}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1a24bfe-2f74-11db-9546-b45830e1f2fb}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи

[QQQQQ]

послетали настройки.при запуске аудио,видеофайлов система выдает ошибку.многие программы не работают и при переустановке снова не работают. Виндовс переустнавливать?или как то доустановить его компоненты?

05112009_212655.log

05112009_212655.log

[ТроПа]

Логи АВЗ и HJT сделайте новые и выложите.

[Alex56]

В папке AVZ не удаляйте папку Quarantine, в нее попали файлы и зловредные и нормальные, когда уточним вернем файлы и все заработает. Не переживайте и не стоит переустнавливать систему.

Не забудьте выложить логи, которые просил wise-wistful выше.

[QQQQQ]

info.txt не создал

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

HiJackThis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

HiJackThis.zip

[ТроПа]

Запустите АВЗ. меню файл--Просмотр карантина. Найдите C:\WINDOWS\System32\Drivers\dtscsi.sys поставьте возле него флажок и нажмите кнопку Восстановить. Перезагрузите компьютер. Напишите что будет с проблемами после этого.

[QQQQQ]

после установки галочки и на"восстановить" - должен ли этот пункт исчезнуть из списка карантина?у меня не исчез. и ,вообще,таких пункта два....одинокавых. пробовала сразу два отмечать и по-отдельности. после перезагрузки ничего не изменилось

[Alex56]

Когда нажимаете восстановить, что-нибудь появляется. Вообще-то должно восстановиться.

[QQQQQ]

выскакивает Подтверждение, на которое я соглашаюсь, и всё. далее перезагружаюсь

[ТроПа]

А теперь посмотрите, есть ли на такой файл C:\WINDOWS\System32\Drivers\dtscsi.sys в системе?

[QQQQQ]

а как мне это сделать? т.е. где именно смотреть?

[ТроПа]

Через обычный проводник, смотрите по пути C:\WINDOWS\System32\Drivers\dtscsi.sys т.е. в корне диска С открываете папку WINDOWS, там - папку System32, потом папку Drivers ну и в ней смотрите есть ли файл dtscsi.sys

Изменено 14 мая, 2009 пользователем wise-wistful

[QQQQQ]

поняла)))))) нет этого файла там

[ТроПа]

У вас эмулярот установлен Деамон?

[QQQQQ]

раньше был. теперь в программныхфайлах два ексешника болтаются daemon408-x64.exe daemon408-x86.exe

[Pili]

QQQQQ: Здравствуйте. Попробуйте удалить daemon tools через установку/удаление программ и установить заново и переустановить драйвера от устройств, которые у вас некорректно работают.

Сохраните текст ниже на fix.reg и примените

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

Если проблема ещё останется, попробуйте установить windows поверх (в режиме восстановления) - Как выполнить обновление (переустановку) Microsoft Windows XP - способ 2, все программы и информация при этом способе останутся.