модифицированный Win32/Kryptik.XOG троянская программа - Форум технической поддержки ESET NOD32

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 12:46:20

Добрый день.
C:\Users\admin\AppData\Roaming\893C.exe - модифицированный Win32/Kryptik.XOG троянская программа - очищен удалением - изолирован. После перезагрузки ESS 5.0.95.0 снова обнаруживает троян по прежнему адресу с новым именем *.exe
Если будем лечить, то как ?

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 21.12.2011 12:58:33

вы же не первый раз на форуме,
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 13:13:24

направляю

Прикрепленные файлы

SCSI4_2011-12-21_13-06-50.rar (321.95 КБ)

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 21.12.2011 13:24:55

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE addsgn 9252771A146AC1CC0B44504EA34F1AA2248ADCFF8F5148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 19 Win32/Delf.SG delall %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\TIUQUJ.CMD deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE
addsgn 9252771A146AC1CC0B44504EA34F1AA2248ADCFF8F5148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 19 Win32/Delf.SG

delall %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\TIUQUJ.CMD
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
+
лог журнала обнаружения угроз
+
лог малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 15:18:33

Направляю данные. Win32/Kryptik.XOG снова найден ess.
mbam_log fullscan: лог малваребайт при полном сканировании (найдена 1 угроза). В результате стандартного решения (быстрое сканирование в малваребайте) угроз не обнаружено.

Прикрепленные файлы

journal ess.rar (1.57 КБ)
mbam_log.rar (510 Б)
mbam_log fullscan.rar (610 Б)

Изменено: abrazo - 21.12.2011 16:34:39

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 16:06:24

ждем )

Изменено: abrazo - 21.12.2011 18:23:11

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 21.12.2011 20:11:27

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING crimg

автоматически созданный образ автозапуска добавьте на форум.

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 21:04:30

ок

Прикрепленные файлы

SCSI4_2011-12-21_20-53-53.rar (318.22 КБ)

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 06:08:40

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] ;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2 zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\9F66.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\9F66.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
-----------
после перезагрузки,
выполните сканирование в ESET NOD32 только оперативной памяти
добавить лог сканирования,

и еще раз выполните скрипт в uVS
(тот что выше.... adddir; crimg в предыдущем сообщении)

новый образ добавить на форум

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 22.12.2011 13:41:09

ESS не обнаружил Win32/Kryptik.XOG !
После выполнения скрипта в uVS образ автозапуска, вероятно, был создан автоматически, однако, направляю архив образа, подготовленный самостоятельно.
Архив из папки uVS с копиями вирусов направлен по указанным адресам.

Прикрепленные файлы

esslog_ram.rar (337 Б)
SCSI4_2011-12-22_12-39-44 automatic.rar (319.74 КБ)
SCSI4_2011-12-22_12-42-20.rar (321.98 КБ)

[ Закрыто ] модифицированный Win32/Kryptik.XOG троянская программа