Некоторое время назад подхватил kryptik trojan,

@Талый снег · Регистрация: 20.10.2010

Студворк — интернет-сервис помощи студентам

Некоторое время назад подхватил kryptik trojan, но так как его сообщения о том, что машина заражена и надо провести очистку появлялись не слишком часто, как-то на это дело подзабил. Со вчера начал постоянно меняться пароль на почте, а это уже грустнее. Ни с чем иным кроме как с трояном я не могу это связать.

Помогите, пожалуйста!

@Dr.Xank · 20.10.2010, 20:25

Смотрю логи.

Добавлено через 37 минут
Выполните скрипт авз

Code
1
2
3
4
5
6
7
8
9
10
11
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\asus\atk hotkey\hcontrol.exe','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.

Компьютер перезагрузится
выполните второй скрипт

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин(quarantine.zip) отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html
ответ лаборатории сообщите в теме.

Повторите логи.

Что с проблемой?

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Проверить на вирус тотале

Code
1
C:\WINDOWS\system32\wuaucpl.cpl.mui

ссылку на результат, дайте в следующем сообщение.

@Талый снег · 20.10.2010, 22:11 **[ТС]**

через полчаса всё подготовлю.

Добавлено через 1 час 7 минут
+ 1. Выполнил, перегрузился.
+ 2. Выполнил, создал файл.
0 3. Отправил, ответ жду.
...

Письмо будет передано на рассмотрение вирусному аналитику.

hcontrol.exe,
patch_viv.exe

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

+ 4. Повторил логи, точку восстановления, и т.д.
? 5. С проблемой:
5.1 начиная с сегодняшнего дня подглючивает работа файрфокса. gmail не открывается в стандартном режиме, только в упрощенном. Сайты с javascript очень долго думают, иногда не грузятся.
5.2 давно было, и продолжается - открытие левых посторонних окон в файрфоксе (поменьше) и в ИЕ (побольше, в частности epoclick.com)
5.3 пароль от почты опять сбросился. Кстати, учитывая, что в нормальном режиме не получается загрузить почту (полоска доходит почти до конца), то у меня предположение, что в этот момент троян как раз общается с хозяином. Тем более, что пока я пытался разобраться с трояном криптик, он обнаруживался в папке javascript. Кстати, попытался отправить вам личное сообщение из файрфокса - не вышло, там тоже javascript.
5.4 в ИЕ многие страницы (в том числе эта) грузится с сообщением о том, что на странице есть неопределенная угроза.

The page has an unspecified potential risk. Do u wish to continue?

0 6 Anti-Malware скачал, не смог обновить ни автоматом, ни вручную.
0 7 делаю сканирование, это видимо надолго, поэтому пока что отправляю остальное. Системный диск просканирован, зараженных файлов не найдено
+ 8 Virustotal пишет, что такой файл у него уже есть и что он чист.

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: bf576e9b45ce47002767aaf855a2714c
Date first seen: 2010-08-04 17:26:18 (UTC)
Date last seen: 2010-08-04 17:26:18 (UTC)
Detection ratio: 0/42

? 9 нужно ли проверить контрольную сумму (MD5) файла, и если да - как это сделать? Или он имеет ввиду, что файл с такой же суммой поступал и что вот он?

@Талый снег · 20.10.2010, 22:29 **[ТС]**

Завершил сканирование, лог в приложении

Забытая ссылка на результат вирустотала
http://www.virustotal.com/file... 1287596431

@Dr.Xank · 20.10.2010, 22:52

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

@Талый снег · 20.10.2010, 23:25 **[ТС]**

готово

@Талый снег · 21.10.2010, 19:13 **[ТС]**

Проблема всё еще жива, помогите пожалуейтса

@Dr.Xank · 21.10.2010, 20:48

Запустите из командной строки: Пуск | Выполнить | cmd | sfc /scannow

Утилите требуется инсталляционный диск с операционной системой.

@MotherBoard · 22.10.2010, 01:46

Сообщение от Alex1983

Запустите из командной строки: Пуск | Выполнить | cmd | sfc /scannow

Утилите требуется инсталляционный диск с операционной системой.

http://virusnet.info/forum/showthread.php?t=5209

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@Dr.Xank Марсианин))) 713 / 46 / 15 Регистрация: 18.07.2010 Сообщений: 637
	20.10.2010, 22:52
	Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." 0

@Талый снег 0 / 0 / 0 Регистрация: 20.10.2010 Сообщений: 5
	21.10.2010, 19:13 [ТС]
	Проблема всё еще жива, помогите пожалуейтса 0

@Dr.Xank Марсианин))) 713 / 46 / 15 Регистрация: 18.07.2010 Сообщений: 637
	21.10.2010, 20:48
	Запустите из командной строки: Пуск \| Выполнить \| cmd \| sfc /scannow Утилите требуется инсталляционный диск с операционной системой. 0