Win32/Kryptik.APD

[Yulyuha]

Здравствуйте. Помогите вылечить винду. При включении компа через 10-15 мин. выскакивает сообщение В результате вот такая фигня :g:

[Matias]

Выполните правила.

[Yulyuha]

Выполните правила.

Готово.

Прикрепляю требуемые в п.4 файлы log.txtinfo.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('yyakvapqtlt');QuarantineFile('C:\WINDOWS\system32\drivers\htetaaqgedzzff.sys','');DeleteService('yarclsmxypcleqv');QuarantineFile('C:\WINDOWS\system32\drivers\ahkhewsnvqurzf.sys','');DeleteService('tlxmkppe');QuarantineFile('C:\WINDOWS\system32\drivers\btjuciu.sys','');DeleteService('sldrsejjudlcs');QuarantineFile('C:\WINDOWS\system32\drivers\zqkejfep.sys','');DeleteService('hqxvvbzvr');DeleteService('ghm7438');QuarantineFile('C:\WINDOWS\system32\drivers\rkzizqhok.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\ghm7438.sys','');DeleteFile('C:\WINDOWS\System32\drivers\ghm7438.sys');DeleteFile('C:\WINDOWS\system32\drivers\rkzizqhok.sys');DeleteFile('C:\WINDOWS\system32\drivers\zqkejfep.sys');DeleteFile('C:\WINDOWS\system32\drivers\btjuciu.sys');DeleteFile('C:\WINDOWS\system32\drivers\ahkhewsnvqurzf.sys');DeleteFile('C:\WINDOWS\system32\drivers\htetaaqgedzzff.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteWizard('TSW',3,3,true);RebootWindows(true);end.

Какие из этих ИП адресов ваши? 82.207.66.250 212.113.36.14

Скачайте IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Сделайте новые логи

[Matias]

Скачайте IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Я, конечно, не считаю себя экспертом в вопросе удаления зловредов, но исправление искаженных параметров в реестре, относящихся к обновлению Windows, лучше делать с помощью MBAM, поскольку программа выполняет эту операцию автоматически.

Изменено 28 сентября, 2009 пользователем Matias

[Yulyuha]

Какие из этих ИП адресов ваши? 82.207.66.250 212.113.36.14

Это не мои IP. У меня динамический, 92.113......, 94.178....., 94.179....., 95.134.....

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

таких ..... не нашла, смотрела оооочень внимательно

P.S. После выполненных раннее действий, сообщение больше не выскакивает. Огромное спасибо Matias и миднайт

[akoK]

Пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CCS\Services\Tcpip\..\{7FDC237D-38C6-4CF8-ACA5-563F9BFA2503}: NameServer = 82.207.66.250 212.113.36.14 

Я, конечно, не считаю себя экспертом в вопросе удаления зловредов, но исправление искаженных параметров в реестре, относящихся к обновлению Windows, лучше делать с помощью MBAM, поскольку программа выполняет эту операцию автоматически.

IceSword тоже можно использовать, но этот инструмент не может страховать от ошибки пользователя.

[Matias]

IceSword не может страховать от ошибки пользователя.

Так именно по этой причине я и упомянул о MBAM. Она-то ошибок не наделает.

[akoK]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Почистим мусор.

[Yulyuha]

Теперь получается другая фишка :g: В диспетчере задач, в процессах, есть имя образа - winlogon.exe. Мне один знакомый сказал, что это вирь, не удаляется и не чистится, придётся винду переустанавливать. Это так?

[Old men]

Yulyuha

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

Цитата взята отсюда http://www.securitylab.ru/processinfo/266155.php

[Matias]

имя образа - winlogon.exe.

Есть очень простой способ проверить легитимен ли тот или иной процесс. Скачайте Process Explorer, запустите, ПКМ по имени интересующего процесса, выберите Properties, затем нажмите Verify. Если около названия процесса появится надпись Verified, следовательно этот процесс не должен вызывать подозрения. Для проверки того или иного процесса необходимо разрешить PE доступ в Интернет.

Изменено 1 октября, 2009 пользователем Matias