Решена троян win32/Kryptik.

[Lesha_new]

Добрый день, подхватил вирус win32/Kryptik.FKQA. При загрузке ПК постоянно открывается explorer и антивирусник NOD32 прерывает соединения с разными объектами. Пробовал чистить Malwarebytes Anti-Malware, но не помогло. Что можно сделать?

 

[VexMD]

Lesha_new,
приложите к сообщению CollectionLog как описано в https://safezone.cc/pravila/ пункт Как подготовить логи?

 

[Lesha_new]

Lesha_new,
приложите к сообщению CollectionLog как описано в https://safezone.cc/pravila/ пункт Как подготовить логи?

 

[shestale]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\documents and settings\home\local settings\application data\filesystemdriver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\documents and settings\home\local settings\application data\filesystemdriver\filesystemdriver.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
 DeleteFile('c:\documents and settings\home\local settings\application data\filesystemdriver\filesystemdriver.exe', '32');
 DeleteFileMask('c:\documents and settings\home\local settings\application data\filesystemdriver', '*', true);
 DeleteDirectory('c:\documents and settings\home\local settings\application data\filesystemdriver');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vzwjvvpevt');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

>>> [HTTP] "C:\Documents and Settings\HOME\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"        -> ["C:\WINDOWS\system32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811008"]
>>> [CMD][MASK] "C:\Documents and Settings\HOME\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk"    -> ["C:\WINDOWS\system32\cmd.exe"  =>> "/c start "" "hxxp://imatiro.ru/?utm_source=quicklaunch03&utm_content=6ac7408278bf483402647c4fde29c433&utm_term=acf2d3455a06545e13a13c932626e705&utm_d=20161201""]
>>> [CMD][MASK][h][s] "C:\Documents and Settings\HOME\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"   -> ["C:\WINDOWS\system32\cmd.exe"  =>> /c start "" "hxxp://imatiro.ru/?utm_source=startlink03&utm_content=8e28c44c896d25fe988428402c272a9f&utm_term=A2E00A644C0209B3230059BDD1110099&utm_d=20161201"]

Подготовьте лог AdwCleaner.

 

[Lesha_new]

shestale, Все сделал. Можно как-то пояснить данный алгоритм действий, чтобы самому понять, что делается и для чего?!

P.S. Антивирус уже не блокирует ничего и не находит. Браузер автоматически не запускается и не открывает различные страницы.

 

[shestale]

Удалите в AdwCleaner все найденные объекты.

Можно как-то пояснить данный алгоритм действий, чтобы самому понять, что делается и для чего?!

Не так просто объяснить...если есть желание этим серьёзно заняться, тогда вам сюда. По времени это, как минимум год-полтора.
Ну а в двух словах...

При загрузке ПК постоянно открывается explorer и...

Вот:

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vzwjvvpevt');

+
Удалена малварь и почищены ярлыки.

 

[Lesha_new]

shestale, Спасибо за информацию. Я так понимаю, моя проблема решена - тему можно закрывать.

 

[shestale]

Еще немного осталось...

Удалите в AdwCleaner все найденные объекты.

Удалили? А лог?
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

 

[Lesha_new]

Еще немного осталось...

Удалили? А лог?

Да, удалил.

Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 06.12.2016 12:38:53
Path starting: C:\Documents and Settings\HOME\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: HOME
VersionXML: 3.58is-03.12.2016
___________________________________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 18.11.2015 12:24:45
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE
Системный диск: C: ФС: [NTFS] Емкость: [25.4 Гб] Занято: [18.5 Гб] Свободно: [6.9 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Службы терминалов (TermService) - Служба работает
Служба обнаружения SSDP (SSDPSRV) - Служба работает
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
ESET NOD32 Antivirus 4.2 (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee Security Scan Plus v.3.11.376.2
ESET NOD32 Antivirus v.4.2.76.1
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.26 v.7.26.101 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 17 v.7.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Flash Player 22 PPAPI v.22.0.0.209 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera 12.14.1738
Opera Stable 34.0.2036.25 v.34.0.2036.25 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 36.0.2130.80 v.36.0.2130.80 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional v5.3.8 v.5.3.8.0 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Opera\36.0.2130.80\opera.exe v.36.0.2130.80
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.4.2.76.1
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe v.4.2.76.1
----------------------------- [ End of Log ] ------------------------------

 

[shestale]

Есть над чем поработать. Закрывайте уязвимости.
+
Рекомендации после лечения