Форум esetnod32.ru [тема: модифицированный Win32/Kryptik.XOG троянская программа] http://forum.esetnod32.ru Новое в теме модифицированный Win32/Kryptik.XOG троянская программа форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 07:36:26 +0300 модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Победа ! Благодарю за помощь )
22.12.2011 20:39:58, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28256/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28256/ Thu, 22 Dec 2011 20:39:58 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните наши рекомендации применительно к вашей системе
http://forum.esetnod32.ru/forum9/topic751/
(backdoor может еще вернуться, имеет смысл периодически выполнить сканирование для контроля.)
22.12.2011 20:30:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28253/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28253/ Thu, 22 Dec 2011 20:30:25 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
хм, вытравились. даже интересно стало, почему они так долго оставались в системе. должны были быть удалены еще скриптами uVS.
22.12.2011 20:28:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28252/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28252/ Thu, 22 Dec 2011 20:28:06 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
чисто
22.12.2011 20:18:59, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28251/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28251/ Thu, 22 Dec 2011 20:18:59 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
еще раз выполните сканирование  в малваребайт
22.12.2011 20:03:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28250/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28250/ Thu, 22 Dec 2011 20:03:08 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
ESS не обнаружил Win32/Kryptik.XOG.
какой необходимо проверить  файл на http://virustotal.com ? Файл CNARLMNT.DLL в моей системе отсутствует.
esslog.rar
SCSI4_2011-12-22_17-14-22.rar
22.12.2011 17:41:44, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28244/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28244/ Thu, 22 Dec 2011 17:41:44 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
все скрипты в uVS были выполнены
22.12.2011 17:36:11, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28243/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28243/ Thu, 22 Dec 2011 17:36:11 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
проверить данный файл на http://virustotal.com


====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\CNARLMNT.DLL
Имя файла                   CNARLMNT.DLL
Тек. статус                 в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      89088 байт
Создан                      20.12.2011 в 16:16:54
Изменен                     27.02.2007 в 01:05:42
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            
Версия файла                1.1.0.0
Описание                    Canon MF8100 Series LanguageMonitor.
Производитель               キヤノン株式会社
Комментарий                
                           
Доп. информация             на момент обновления списка
SHA1                        BAC2DD663BA75B5E055A45A96191198A73A3B4B2
MD5                         1C9E573374425F1446F76E9A6F8E8F24
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\Print\Monitors\CARPSLM­ Monitor\Driver
Driver                      CNARLMNT.DLL

=============

22.12.2011 16:20:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28237/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28237/ Thu, 22 Dec 2011 16:20:01 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
abrazo, вопрос:
вы скрипты в uVS выполняете, или только образы им создаете всякий раз?

вот скрипт в uVS из сообщения 11
====code==== 
;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart
=============
здесь прописано удаление файлов, тех что попали в последний лог малваребайт.
22.12.2011 16:12:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28236/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28236/ Thu, 22 Dec 2011 16:12:52 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. удалить все найденное в МБАМ

====quote====
Зараженные файлы:
c:\Users\admin\AppData\Roaming\1348.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\CDA5.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\F21C.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\FCD6.exe (Backdoor.IRCBot) -> No action taken.
=============

22.12.2011 16:09:10, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28235/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28235/ Thu, 22 Dec 2011 16:09:10 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Направляю данные. uVS и малваребайт обнаружили угрозы.
mbam-log-2011-12-22 (14-21-49).rar
SCSI4_2011-12-22_14-33-10.rar
TDSSKiller.2.6.23.0_22.12.2011_14.41.16_log.rar
22.12.2011 14:52:20, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28222/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28222/ Thu, 22 Dec 2011 14:52:20 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
чувствую свою вину: проверка системы в малваребайт от 21.12.2011 была осуществлена без предварительного обновления!. Сейчас обновил и были обнаружены backdoor по интересующему нас пути.
22.12.2011 14:21:36, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28221/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28221/ Thu, 22 Dec 2011 14:21:36 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по всему, предыдущий скрипт очистки в uVS не был выполнен. все те же файлики на прежнем месте.
22.12.2011 14:11:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28218/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28218/ Thu, 22 Dec 2011 14:11:21 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
22.12.2011 14:04:07, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28217/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28217/ Thu, 22 Dec 2011 14:04:07 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
новый образ автозапуска,
можно повторить скрипт с addir, crimg,
но похоже или в автозапуске сидит еще файлик, который сбрасывает экзешники в папку roaming,
или по сети пробивает.
22.12.2011 13:59:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28216/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28216/ Thu, 22 Dec 2011 13:59:27 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
22.12.2011 13:56:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28215/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28215/ Thu, 22 Dec 2011 13:56:21 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже, подбрасываются все таки файлики в папку,
причина пока непонятна.

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
22.12.2011 13:55:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28214/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28214/ Thu, 22 Dec 2011 13:55:27 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
ESS не обнаружил Win32/Kryptik.XOG !
После выполнения скрипта в uVS образ автозапуска, вероятно, был создан автоматически, однако, направляю архив образа, подготовленный самостоятельно.
Архив из папки uVS с копиями вирусов направлен по указанным адресам.
esslog_ram.rar
SCSI4_2011-12-22_12-39-44 automatic.rar
SCSI4_2011-12-22_12-42-20.rar
22.12.2011 13:41:09, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28206/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28206/ Thu, 22 Dec 2011 13:41:09 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\9F66.EXE
chklst
delvir
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
-----------
после перезагрузки,
выполните сканирование в ESET NOD32 только оперативной памяти
добавить лог сканирования,

и еще раз выполните скрипт в uVS
(тот что выше.... adddir; crimg в предыдущем сообщении)

новый образ добавить на форум
22.12.2011 06:08:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28162/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28162/ Thu, 22 Dec 2011 06:08:40 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок
SCSI4_2011-12-21_20-53-53.rar
21.12.2011 21:04:30, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28128/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28128/ Wed, 21 Dec 2011 21:04:30 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

adddir %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING
crimg
=============
автоматически созданный образ автозапуска добавьте на форум.
21.12.2011 20:11:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28123/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28123/ Wed, 21 Dec 2011 20:11:27 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
ждем )
21.12.2011 16:06:24, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28099/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28099/ Wed, 21 Dec 2011 16:06:24 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Направляю данные. Win32/Kryptik.XOG снова найден ess.
mbam_log fullscan: лог малваребайт при полном сканировании (найдена 1 угроза). В результате стандартного решения (быстрое сканирование в малваребайте) угроз не обнаружено.
journal ess.rar
mbam_log.rar
mbam_log fullscan.rar
21.12.2011 15:18:33, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28097/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28097/ Wed, 21 Dec 2011 15:18:33 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE
addsgn 9252771A146AC1CC0B44504EA34F1AA2248ADCFF8F5148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 19 Win32/Delf.SG

delall %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\PLUGINS\HELPER\ALSRVN.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\TIUQUJ.CMD
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.
----------
+
лог журнала обнаружения угроз
+
лог малваребайт
21.12.2011 13:24:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28096/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28096/ Wed, 21 Dec 2011 13:24:55 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
направляю
SCSI4_2011-12-21_13-06-50.rar
21.12.2011 13:13:24, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28095/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28095/ Wed, 21 Dec 2011 13:13:24 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
вы же не первый раз на форуме,
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
21.12.2011 12:58:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28093/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28093/ Wed, 21 Dec 2011 12:58:33 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Kryptik.XOG троянская программа модифицированный Win32/Kryptik.XOG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день.
C:\Users\admin\AppData\Roaming\893C.exe - модифицированный Win32/Kryptik.XOG троянская программа - очищен удалением - изолирован. После перезагрузки ESS 5.0.95.0 снова обнаруживает троян по прежнему адресу с новым именем *.exe
Если будем лечить, то как ?
21.12.2011 12:46:20, abrazo.]]> http://forum.esetnod32.ru/messages/forum6/topic3329/message28092/ http://forum.esetnod32.ru/messages/forum6/topic3329/message28092/ Wed, 21 Dec 2011 12:46:20 +0400 Обнаружение вредоносного кода и ложные срабатывания