Jump to content
СофтФорум - всё о компьютерах и не только

Win32/Kryptik.APD

Yulyuha
 Share

Recommended Posts

миднайт

миднайт

Posted
Posted

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('yyakvapqtlt');QuarantineFile('C:\WINDOWS\system32\drivers\htetaaqgedzzff.sys','');DeleteService('yarclsmxypcleqv');QuarantineFile('C:\WINDOWS\system32\drivers\ahkhewsnvqurzf.sys','');DeleteService('tlxmkppe');QuarantineFile('C:\WINDOWS\system32\drivers\btjuciu.sys','');DeleteService('sldrsejjudlcs');QuarantineFile('C:\WINDOWS\system32\drivers\zqkejfep.sys','');DeleteService('hqxvvbzvr');DeleteService('ghm7438');QuarantineFile('C:\WINDOWS\system32\drivers\rkzizqhok.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\ghm7438.sys','');DeleteFile('C:\WINDOWS\System32\drivers\ghm7438.sys');DeleteFile('C:\WINDOWS\system32\drivers\rkzizqhok.sys');DeleteFile('C:\WINDOWS\system32\drivers\zqkejfep.sys');DeleteFile('C:\WINDOWS\system32\drivers\btjuciu.sys');DeleteFile('C:\WINDOWS\system32\drivers\ahkhewsnvqurzf.sys');DeleteFile('C:\WINDOWS\system32\drivers\htetaaqgedzzff.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteWizard('TSW',3,3,true);RebootWindows(true);end.

Какие из этих ИП адресов ваши? 82.207.66.250 212.113.36.14

Скачайте IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Сделайте новые логи

Link to comment
Share on other sites
Matias

Matias

Posted
Posted (edited)

Скачайте IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Я, конечно, не считаю себя экспертом в вопросе удаления зловредов, но исправление искаженных параметров в реестре, относящихся к обновлению Windows, лучше делать с помощью MBAM, поскольку программа выполняет эту операцию автоматически.

Edited by Matias
Link to comment
Share on other sites
Yulyuha

Yulyuha

Posted
  • Author
Posted

Какие из этих ИП адресов ваши? 82.207.66.250 212.113.36.14

Это не мои IP. У меня динамический, 92.113......, 94.178....., 94.179....., 95.134.....

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

таких ..... не нашла, смотрела оооочень внимательно

P.S. После выполненных раннее действий, сообщение больше не выскакивает. Огромное спасибо Matias и миднайт

Link to comment
Share on other sites
akoK

akoK

Posted
Posted

Пофиксить в HijackThis следующие строчки 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7FDC237D-38C6-4CF8-ACA5-563F9BFA2503}: NameServer = 82.207.66.250 212.113.36.14
Я, конечно, не считаю себя экспертом в вопросе удаления зловредов, но исправление искаженных параметров в реестре, относящихся к обновлению Windows, лучше делать с помощью MBAM, поскольку программа выполняет эту операцию автоматически.

IceSword тоже можно использовать, но этот инструмент не может страховать от ошибки пользователя.

Link to comment
Share on other sites
Matias

Matias

Posted
Posted

IceSword не может страховать от ошибки пользователя.

Так именно по этой причине я и упомянул о MBAM. Она-то ошибок не наделает.

Link to comment
Share on other sites
akoK

akoK

Posted
Posted

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Почистим мусор.

Link to comment
Share on other sites
Yulyuha

Yulyuha

Posted
  • Author
Posted

Теперь получается другая фишка :g: В диспетчере задач, в процессах, есть имя образа - winlogon.exe. Мне один знакомый сказал, что это вирь, не удаляется и не чистится, придётся винду переустанавливать. Это так?

Link to comment
Share on other sites
Old men

Old men

Posted
Posted

Yulyuha

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

Цитата взята отсюда http://www.securitylab.ru/processinfo/266155.php

Link to comment
Share on other sites
Matias

Matias

Posted
Posted (edited)

имя образа - winlogon.exe.

Есть очень простой способ проверить легитимен ли тот или иной процесс. Скачайте Process Explorer, запустите, ПКМ по имени интересующего процесса, выберите Properties, затем нажмите Verify. Если около названия процесса появится надпись Verified, следовательно этот процесс не должен вызывать подозрения. Для проверки того или иного процесса необходимо разрешить PE доступ в Интернет.

Edited by Matias
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...