Win32/Kryptik.DA

[WaNDeR]

доброе время суток.

не могу поймать где сидит этот вирус, а систему переставлять не хочеться чую он не на одном компе, ситуация такая ни один антивирус не показывает его в системной памяти, но он постоянно создает вирусный файл на дискете и в этот момент его ловит нод32, модифицированный вирус Win32/Kryptik.DA в созданом файле, может вы мне сможете помочь, зарание благодарен.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[shamr]

Я думаю, что на компьютере у тебя нет данного вируса. На компьютере у тебя сидит некий зверь по типу Троян Даунлоадера. А их к сожалению не все даже Касп ловит. (Для Е.К. -- Прошу прощения но это так.) А Нод32 вообще считает, что данные вирусы являются чем-то, типа самораспаковывающихся архивов. При этом существует архиватор, забытый во времени, под названием Ha (архиватор Хафмана), его особенность в том, что создав левую таблицу символов, можно "запаковать" файл так, что не поймет ни один Хафман распаковщик. Тем более, что им уже никто не пользуется. По этому на данные самораспаковщики авиры даже не смотрят. Пропускают как обычный файл с хламом.

Но данный файл может сидеть где нибудь в автозапуске, и рандомом распаковывать свои вложенные архивы. Так что то что криптика вычислили это хорошо, но надо бы папу его достать.

 

Строгое предупреждение от модератора User

Устное предупреждение за некомпитентный совет

[Alexey_I]

WaNDeR, Здравствуйте.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

O4 - HKLM\..\Run: [runwinlogon] C:\WINNT\winlogon.exe
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\winlogon.exe','');
DeleteFile('C:\WINNT\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com и (т.к. у вас NOD) samples@esetnod32.ru; samples@eset.com или http://www.esetnod32.ru/support/newvirus.php, в письме укажите пароль "virus"

 

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Изменено 20 мая, 2009 пользователем Alexey_I

[WaNDeR]

к сожалению я видимо ввел вас в заблуждение и себя тоже, проверив все еще раз обнаружил что файл winlogon отсутствует в каталоге винды, и соответственно ничего в карантин скрипт не копирует, а ввел в заблуждение потому что искал я вирус не на том компьютере оказалось что дискета была расшарена в сеть и по видимому вирус болтаеться где то в сети и копирует себя в открытые шары, начал поиск его на других компьютерах.

[Alexey_I]

проверив все еще раз обнаружил что файл winlogon отсутствует в каталоге винды

Возможно оставалась только запись в реестре, которая отображалась в логах.

дискета была расшарена в сеть и по видимому вирус болтаеться где то в сети и копирует себя в открытые шары,

Файл C:\WINNT\System32\DRIVERS\CProCt2k.sys запакуйте в архив с паролем virus и отправьте на newvirus@kaspersky.com

Проблема после фикса строчке в HJT должна была исчезнуть, если нет, можно будет использовать другие средства.